---

title: Fetch Metadata 请求头实践：防跨站请求伪造与滥用

keywords:

• Fetch Metadata
• Sec-Fetch-Site
• Sec-Fetch-Mode
• Sec-Fetch-Dest
• 请求来源治理

description: 说明 Fetch Metadata 的请求头含义与服务器端防护策略，用最小代价识别跨站与非同源请求，降低 CSRF 与投毒风险。

date: 2025-11-26

sources:

• https://web.dev/fetch-metadata/
• https://developer.chrome.com/docs/privacy-sandbox/fetch-metadata/

tags:

• Fetch Metadata
• Sec-Fetch-Dest
• Sec-Fetch-Mode
• Sec-Fetch-Site
• 前端开发
• 安全
• 技术
• 请求来源治理

categories:

• 文章资讯
• 编程技术

---

概述

Fetch Metadata 在每次请求中附带来源与目的信息（Sec-Fetch-*），后端可基于此拒绝异常来源或不期望的目的类型（如跨站导航触发的敏感 POST）。

防护策略（已验证）

• 拒绝跨站写入：当 Sec-Fetch-Site 为 cross-site 且 Sec-Fetch-Mode 为 navigate/cors 时拒绝敏感写操作（来源）
• 仅允许同源 API：限制 Sec-Fetch-Site 为 same-origin 的写请求；为公开资源保留只读策略
• 白名单：为 SSO 或可信中间层添加来源白名单与额外校验