我正在探索将 HTTP 来源检查作为 Drupal 的 CSRF 保护的想法 https://www.drupal.org/node/1803712
现在我正在测试 Origin header 如何通过 POST 请求到达,但 Firefox 不会在用户登录表单提交时发送 Origin header 。 Chromium 和 Chrome 工作正常,它们发送 Origin header 。
Firefox 版本为 36.0.1。我还使用干净的 Firefox 安装进行了测试,因为我认为我的某些浏览器插件可能会抑制 Origin header ,但运气不佳 - 那里也没有 Origin header 。
是否有文档页面描述 Firefox 何时发送 Origin header ,何时不发送?
最佳答案
尚未实现。这里有一个讨论:https://bugzilla.mozilla.org/show_bug.cgi?id=446344
关于http - 为什么 Firefox 并不总是为 POST 请求发送 HTTP Origin header ?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/29034776/