CORS-zugelassene Anfrage-Header
Ein CORS-zugelassener Anfrage-Header ist einer der folgenden HTTP Header:
Wenn eine Anfrage nur diese Header verwendet (und die Werte der Header unten beschriebene Anforderungen erfüllen), braucht die Anfrage kein preflight request (en-US) im CORS-Kontext übermitteln.
Man kann weitere Header über den Access-Control-Allow-Headers (en-US)-Header zulassen und listet man obige Header dort auf, lassen sich folgende Sicherheitsrestriktionen umgehen:
Zusätzliche Restriktionen
CORS-zugelassene Header müssen außerdem folgende Anforderungen erfüllen, um ein CORS-zugelassender Anfrage-Header zu sein:
- Für Accept-Language (en-US) und Content-Language (en-US): Kann lediglich Werte aus den Zeichen
0-9
,A-Z
,a-z
, Space oder*,-.;=
. - Für
Accept
und Content-Type (en-US): Darf keinen CORS-unsicheren Anfrage-Header-Byte:"():<>?@[\]{}
, Delete, Tab and Kontrollzeichen: 0x00 to 0x19 enthalten. - Für Content-Type (en-US): Muss einen der MIME-Typen
application/x-www-form-urlencoded
,multipart/form-data
, odertext/plain
(Parameter wie ein Qualitätswert (Quality value) werden ignoriert) - Für andere Header: Die Länge des Wertes darf 128 Bytes nicht überschreiten.