Fetch metadata request header (フェッチメタデータリクエストヘッダー)

フェッチメタデータリクエストヘッダーは HTTP リクエストヘッダーのうち、リクエストの発信元のコンテキストに関する追加情報を提供するものです。これによりサーバは、リクエストがどこから来たのか、リソースをどのように使用するのかに基づいて、リクエストを許可すべきかどうかを決定することができます。

この情報があれば、サーバーはリソース分離ポリシーを実装し、外部サイトが共有を意図され、適切に使用することができるリソースだけをリクエストできるようにすることができます。この手法は CSRF、Cross-site Script Inclusion ('XSSI')、タイミング攻撃、オリジン間情報リークなどの一般的なサイトを跨ぐウェブ脆弱性を軽減するのに役立ちます。

これらのヘッダー名には Sec- の接頭辞が付いており、禁止ヘッダー名であるため、 JavaScript からヘッダーを変更することはできません。

フェッチメタデータリクエストヘッダーには以下のようなものがあります。

• Sec-Fetch-Site
• Sec-Fetch-Mode
• Sec-Fetch-User
• Sec-Fetch-Dest

以下のリクエストヘッダーは同じ仕様書に書かれていないので、厳密には「フェッチメタデータリクエストヘッダー」ではありませんが、同様にリソースがどのように使用されるかのコンテキストに関する情報を提供します。 サーバはキャッシュの動作や返す情報を変更するためにこれらを使用するかもしれません。

• Sec-Purpose Experimental
• Service-Worker-Navigation-Preload