Access-Control-Allow-Headers header

Baseline Widely available *

This feature is well established and works across many devices and browser versions. It’s been available across browsers since July 2015.

* Some parts of this feature may have varying levels of support.

Der HTTP Access-Control-Allow-Headers Antwortheader wird als Reaktion auf eine Preflight-Anfrage verwendet, um die HTTP-Header anzugeben, die während der eigentlichen Anfrage verwendet werden können. Dieser Header ist erforderlich, wenn die Preflight-Anfrage Access-Control-Request-Headers enthält.

Hinweis: Die CORS-safelisted-Anforderungsheader sind immer erlaubt und werden normalerweise nicht in Access-Control-Allow-Headers aufgelistet, es sei denn, es besteht die Notwendigkeit, die zusätzlichen Safelist-Beschränkungen zu umgehen.

Header-Typ Antwortheader
Verbotener Anforderungsheader Nein

Syntax

http
Access-Control-Allow-Headers: <header-name>
Access-Control-Allow-Headers: <header-name>, <header-name>
Access-Control-Allow-Headers: *

Anweisungen

<header-name>

Der Name eines unterstützten Anforderungsheaders. Der Header kann eine beliebige Anzahl von Headern enthalten, die durch Kommas getrennt sind.

* (Wildcard)

Jeder Header. Der Wert * zählt nur als spezieller Wildcard-Wert für Anfragen ohne Anmeldeinformationen (Anfragen ohne HTTP-Cookies oder HTTP-Authentifizierungsinformationen). Bei Anfragen mit Anmeldeinformationen wird es als der wörtliche Headername * ohne spezielle Semantik behandelt. Der Authorization-Header akzeptiert keine Wildcard und muss immer explizit aufgeführt werden.

Beispiele

Implementierung eines benutzerdefinierten Headers

Hierunter folgt ein Beispiel für einen Access-Control-Allow-Headers-Header. Es zeigt an, dass ein benutzerdefinierter Header namens X-Custom-Header von CORS-Anfragen an den Server unterstützt wird, zusätzlich zu den CORS-safelisted-Anforderungsheadern.

http
Access-Control-Allow-Headers: X-Custom-Header

Unterstützung mehrerer Header

Dieses Beispiel zeigt Access-Control-Allow-Headers, wenn es die Unterstützung für mehrere Header spezifiziert.

http
Access-Control-Allow-Headers: X-Custom-Header, Upgrade-Insecure-Requests

Umgehung zusätzlicher Beschränkungen für CORS-safelisted-Headers

Obwohl CORS-safelisted-Anforderungsheader immer erlaubt sind und normalerweise nicht in Access-Control-Allow-Headers aufgelistet werden müssen, wird ihre Auflistung dennoch die zusätzlichen Beschränkungen, die gelten, umgehen.

http
Access-Control-Allow-Headers: Accept

Umgang mit Preflight-Anfragen

Lassen Sie uns ein Beispiel für eine Preflight-Anfrage betrachten, die Access-Control-Allow-Headers einbezieht.

Anfrage

Zuerst ist die Preflight-Anfrage eine OPTIONS-Anfrage, die eine Kombination der drei Preflight-Anforderungsheader enthält: Access-Control-Request-Method, Access-Control-Request-Headers und Origin.

Die folgende Preflight-Anfrage teilt dem Server mit, dass wir eine CORS-GET-Anfrage mit den in Access-Control-Request-Headers aufgelisteten Headers (Content-Type und X-Requested-With) senden möchten.

http
OPTIONS /resource/foo
Access-Control-Request-Method: GET
Access-Control-Request-Headers: content-type,x-requested-with
Origin: https://foo.bar.org

Antwort

Wenn die durch die Preflight-Anfrage angezeigte CORS-Anfrage autorisiert ist, wird der Server auf die Preflight-Anfrage mit einer Nachricht antworten, die den erlaubten Ursprung, die Methoden und die Header angibt. Unten sehen wir, dass Access-Control-Allow-Headers die angeforderten Header enthält.

http
HTTP/1.1 200 OK
Content-Length: 0
Connection: keep-alive
Access-Control-Allow-Origin: https://foo.bar.org
Access-Control-Allow-Methods: POST, GET, OPTIONS, DELETE
Access-Control-Allow-Headers: Content-Type, x-requested-with
Access-Control-Max-Age: 86400

Wenn die angeforderte Methode nicht unterstützt wird, wird der Server mit einem Fehler antworten.

Spezifikationen

Specification
Fetch
# http-access-control-allow-headers

Browser-Kompatibilität

Siehe auch