HTTP auth headers may be required to access the internet (e.g., to pass a request through a proxy server), so this should only apply to the Authorization request header, right?<div><br class="webkit-block-placeholder"></div>
<div>-Darin</div><div><br><br><div class="gmail_quote">On Jan 22, 2008 11:27 PM, Ian Hickson <<a href="mailto:ian@hixie.ch">ian@hixie.ch</a>> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">
<div class="Ih2E3d">On Tue, 22 Jan 2008, dolphinling wrote:<br>><br>> HTML5 doesn't say anything about whether a referer should be sent with<br>> the POST generated by <a ping>. There is a new attack vector <a ping>
<br>> opens (as currently being discussed on mozilla.dev.platform) that would<br>> be blocked if the referer were not sent.<br><br></div>Fixed. I also said to not include Cookies or HTTP auth headers. Legitimate<br>
uses can always include whatever information they want in the ping=""<br>attribute's value itself.<br><font color="#888888"><br>--<br>Ian Hickson               U+1047E                )\._.,--....,'``.    fL
<br><a href="http://ln.hixie.ch/" target="_blank">http://ln.hixie.ch/</a>       U+263A                /,   _.. \   _\  ;`._ ,.<br>Things that are impossible just take longer.   `._.-(,_..'--(,_..'`-.;.'<br></font>
</blockquote></div><br></div>