20190215追記
Sec-MetadataはFetch Metadataになりました
asnokaze.hatenablog.com
CSRF攻撃やクロスドメインリクエストに対してサイドチャネル攻撃をすることで、情報がリークすることがあります。
それを防ぐために、どのようにHTTPリクエストが行われたかサーバサイドでより詳しく判断できるように、Sec-Metadataヘッダという仕様がW3Cの WebAppSec WGで議論されています。仕様については提案者のMike West氏のリポジトリに説明があります「Sec-Metadata (TODO: Bikeshed the name)」
すでに、Chromeへの導入も検討されています。
「Intent to Implement: The `Sec-Metadata` HTTP request header.」
例を見るとより分かりやすいと思います
Sec-Metadataヘッダ
たとえば、銀行のWebサイトで講座を操作するエンドポイント(リクエストをうけるURL)が、タグでクロスドメインでアクセスされることはないはずです。
Sec-Metadataヘッダは、そのHTTPリクエストがどのようなリクエストなのか情報を付加します。
以下は例です。
// <picture> Sec-Metadata: initiator=imageset, destination=image, site=cross-site, target=subresource // Top-level navigation Sec-Metadata: initiator="", destination=document, site=cross-site, target=top-level, cause=user-activation // <iframe> navigation Sec-Metadata: initiator="", destination=document, site=same-site, target=nested, cause=forced
- initiator及び、destininationは どのようにしてリクエストがトリガーされたかわかります。
- targetは、browsing contextを示すtop-level, nested, subresourceのどれかになります
- siteは、same-origin, same-site, cross-siteのどれかです
- causeは、user-activation、forcedです。URLバーへの入力などユーザのアクションによってリクエストが行われたのか、window.locationなどユーザの意志とは別にリクエストが行われたのか識別できます
これらの情報を元に、サーバでは想定していないかどうか識別できるようになります。
