← AI 動態
Simon Willison
Datasette 更換 CSRF 保護機制
Datasette 更新了 CSRF 保護機制,使用 Sec-Fetch-Site 標頭保護取代 token-based CSRF
Datasette
CSRF
Sec-Fetch-Site
Datasette 是一個基於 Python 的開源資料庫工具,之前使用 token-based CSRF 保護機制來防止跨站點請求偽造攻擊。然而,這種機制需要在模板中添加隱藏輸入欄位,且需要為外部呼叫的 API 禁用 CSRF 保護。Simon Willison 的研究團隊更新了 Datasette,使用 Sec-Fetch-Site 標頭保護機制取代原有的 token-based CSRF 保護機制。這項更新受到 Filippo Valsorda 的研究影響,同樣的變更也已經在 Go 1.25 中實施。新的 CSRF 保護中間件可以更有效地防止跨站點請求偽造攻擊,且不需要在模板中添加隱藏輸入欄位。這項更新對於 Datasette 用戶來說是一個重要的安全性提升,尤其是在面對跨站點請求偽造攻擊時的保護。