HTTP auth headers may be required to access the internet (e.g., to pass a request through a proxy server), so this should only apply to the Authorization request header, right?<div><br class="webkit-block-placeholder"></div>
<div>-Darin</div><div><br><br><div class="gmail_quote">On Jan 22, 2008 11:27 PM, Ian Hickson &lt;<a href="mailto:ian@hixie.ch">ian@hixie.ch</a>&gt; wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">
<div class="Ih2E3d">On Tue, 22 Jan 2008, dolphinling wrote:<br>&gt;<br>&gt; HTML5 doesn&#39;t say anything about whether a referer should be sent with<br>&gt; the POST generated by &lt;a ping&gt;. There is a new attack vector &lt;a ping&gt;
<br>&gt; opens (as currently being discussed on mozilla.dev.platform) that would<br>&gt; be blocked if the referer were not sent.<br><br></div>Fixed. I also said to not include Cookies or HTTP auth headers. Legitimate<br>
uses can always include whatever information they want in the ping=&quot;&quot;<br>attribute&#39;s value itself.<br><font color="#888888"><br>--<br>Ian Hickson &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; U+1047E &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp;)\._.,--....,&#39;``. &nbsp; &nbsp;fL
<br><a href="http://ln.hixie.ch/" target="_blank">http://ln.hixie.ch/</a> &nbsp; &nbsp; &nbsp; U+263A &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp;/, &nbsp; _.. \ &nbsp; _\ &nbsp;;`._ ,.<br>Things that are impossible just take longer. &nbsp; `._.-(,_..&#39;--(,_..&#39;`-.;.&#39;<br></font>
</blockquote></div><br></div>