datasette PR #2689: Replace token-based CSRF with Sec-Fetch-Site header protection
by Simon Willison(Django 共同創辦人、LLM 實戰部落客)
中文摘要
Datasette 專案的 PR #2689 導入了一種新的 CSRF 保護機制,利用 Sec-Fetch-Site 標頭取代傳統的 token-based CSRF 保護。這種新機制的靈感來自 Filippo Valsorda 的研究和 Go 1.25 的實現, Datasette 的開發人員 Simon Willison 和 Claude Code 合作實現了這個變更。這個變更不僅簡化了 CSRF 保護的實現,也移除了舊有的 CSRF token 相關代碼和文件,同時更新了相關的文件和升級指南。