CORS-zugelassene Anfrage-Header

Ein CORS-zugelassener Anfrage-Header ist einer der folgenden HTTP Header:

• Accept,
• Accept-Language (en-US),
• Content-Language (en-US),
• Content-Type (en-US).

Wenn eine Anfrage nur diese Header verwendet (und die Werte der Header unten beschriebene Anforderungen erfüllen), braucht die Anfrage kein preflight request im CORS-Kontext übermitteln.

Man kann weitere Header über den Access-Control-Allow-Headers (en-US)-Header zulassen und listet man obige Header dort auf, lassen sich folgende Sicherheitsrestriktionen umgehen:

Zusätzliche Restriktionen

CORS-zugelassene Header müssen außerdem folgende Anforderungen erfüllen, um ein CORS-zugelassender Anfrage-Header zu sein:

• Für Accept-Language (en-US) und Content-Language (en-US): Kann lediglich Werte aus den Zeichen 0-9, A-Z, a-z, Space oder *,-.;=.
• Für Accept und Content-Type (en-US): Darf keinen CORS-unsicheren Anfrage-Header-Byte: "():<>?@[\]{}, Delete, Tab and Kontrollzeichen: 0x00 to 0x19 enthalten.
• Für Content-Type (en-US): Muss einen der MIME-Typen application/x-www-form-urlencoded, multipart/form-data, oder text/plain (Parameter wie ein Qualitätswert (Quality value) werden ignoriert)
• Für andere Header: Die Länge des Wertes darf 128 Bytes nicht überschreiten.

• CORS-safelisted response header
• Forbidden header name
• Request header