CORS-safelisted request header

Ein CORS-safelisted request header (auch bekannt als "einfacher Header") ist einer der folgenden HTTP-Header:

Wenn nur diese Header (und Werte, die die unten aufgeführten zusätzlichen Anforderungen erfüllen) enthalten sind, muss im Kontext von CORS keine Preflight-Anfrage gesendet werden.

Sie können weitere Header mithilfe des Access-Control-Allow-Headers Headers auf die Safelist setzen und auch die oben genannten Header dort aufführen, um die folgenden zusätzlichen Einschränkungen zu umgehen.

Zusätzliche Einschränkungen

CORS-safelisted Header müssen auch folgende Anforderungen erfüllen, um ein CORS-safelisted Request Header zu sein:

  • Accept-Language und Content-Language können nur Werte enthalten, die aus 0-9, A-Z, a-z, Leerzeichen oder *,-.;= bestehen.
  • Accept und Content-Type dürfen kein CORS-unsafe request header byte enthalten: 0x00-0x1F (außer 0x09 (HT), welches erlaubt ist), "():<>?@[\]{}, und 0x7F (DEL).
  • Content-Type muss einen MIME-Typ des analysierten Wertes (Parameter ignorierend) entweder von application/x-www-form-urlencoded, multipart/form-data, oder text/plain haben.
  • Range muss einen Wert eines einzelnen Byte-Bereichs in der Form bytes=[0-9]+-[0-9]* haben. Siehe die Range Header-Dokumentation für mehr Details.
  • Für jeden Header: Die Länge des Wertes darf nicht größer als 128 sein.

Siehe auch