В современных браузерах мы можем отправить кросс-ориджин POST запрос без заголовка Content-Type. Это может быть полезно, если сайт для защиты от CSRF чекает Content-Type, но пропускает проверку, если этот заголовок отсутствует.
Всё что нужно - создать Blob без указанания CT и отправить его используя fetch или sendBeacon.
Поиграться можно тут http://xxx.dbggl.pw/send_no_ct.html
Всё что нужно - создать Blob без указанания CT и отправить его используя fetch или sendBeacon.
Поиграться можно тут http://xxx.dbggl.pw/send_no_ct.html