20190215追記 Sec-MetadataはFetch Metadataになりました asnokaze.hatenablog.com CSRF攻撃やクロスドメインリクエストに対してサイドチャネル攻撃をすることで、情報がリークすることがあります。 それを防ぐために、どのようにHTTPリクエストが行われたかサーバサイドでより詳しく判断できるように、Sec-Metadataヘッダという仕様がW3Cの WebAppSec WGで議論されています。仕様については提案者のMike West氏のリポジトリに説明があります「Sec-Metadata (TODO: Bikeshed the name)」 すでに、Chromeへの導入も検討されています。 「Intent to Implement: The `Sec-Metadata` HTTP request header.」 例を見るとより分かりやすい