l  http://dev.w3.org/2006/webapi/XMLHttpRequest/

12月10号是最近一次更新。

安全增强有如下方面：

Request无法写 Set-Cookie/2 Header (发送已经存在的cookie没有问题)
Response无法读 Set-Cookie/2 Header

(绕过httponly的方法又少了一种)

防范了Response Headers里的 CRLF 

在中setRequestHeader(header, value), method 
禁止了下列HEADER

l  Accept-Charset

l  Accept-Encoding

l  Authorization

l  Connection

l  Content-Length

l  Cookie

l  Cookie2

l  Content-Transfer-Encoding

l  Date

l  Expect

l  Host

l  Keep-Alive

l  Referer

l  TE

l  Trailer

l  Transfer-Encoding

l  Upgrade

l  User-Agent

l  Via

Anehta受影响的部分：
在anehta.ajax 库中
                o.setRequestHeader("Content-Length", data.length);
                o.setRequestHeader("Content-Type", "application/x-www-form-urlencoded");
               
                o.setRequestHeader("Cookie", document.cookie);