列入 CORS 白名单的请求标头

列入 CORS 白名单的请求标头(CORS-safelisted request header,也被称作“简单标头”)包含以下 HTTP 标头

当仅包含这些标头(以及符合下面列出的额外请求的值)时,在 CORS 上下文中的请求不需要发送预检请求

你可以使用 Access-Control-Allow-Headers 标头将更多标头列入白名单,也可以在其中列出上述标头以绕过下面的附加限制。

附加限制

列入 CORS 白名单的标头还必须满足以下要求:

  • Accept-LanguageContent-Language 只能包含由 0-9A-Za-z、空格或 *,-.;= 组成的值。
  • AcceptContent-Type 不能包含 CORS 不安全的请求标头字节0x00-0x1F(除了 0x09 (HT),这是被允许的)、"():<>?@[\]{},以及 0x7F (DEL)
  • Content-Type 的 MIME 类型的解析值(忽略参数)需要是 application/x-www-form-urlencodedmultipart/form-datatext/plain 中的一个。
  • Range 的值必须是由 bytes=[0-9]+-[0-9]* 形式表示的字节范围。参见 Range 标头文档以获取更多详细信息。
  • 对于任意标头:其值的长度不能超过 128。

参见