CORS-zugelassene Anfrage-Header

Ein CORS-zugelassener Anfrage-Header ist einer der folgenden HTTP Header:

Wenn eine Anfrage nur diese Header verwendet (und die Werte der Header unten beschriebene Anforderungen erf├╝llen), braucht die Anfrage kein preflight request im CORS-Kontext ├╝bermitteln.

Man kann weitere Header ├╝ber den Access-Control-Allow-Headers-Header zulassen und listet man obige Header dort auf, lassen sich folgende Sicherheitsrestriktionen umgehen:

Zus├Ątzliche Restriktionen

CORS-zugelassene Header m├╝ssen au├čerdem folgende Anforderungen erf├╝llen, um ein CORS-zugelassender Anfrage-Header zu sein:

  • F├╝r Accept-Language und Content-Language: Kann lediglich Werte aus den Zeichen 0-9, A-Z, a-z, Space oder *,-.;=.
  • F├╝r Accept und Content-Type: Darf keinen CORS-unsicheren Anfrage-Header-Byte: "():<>?@[\]{}, Delete, Tab and Kontrollzeichen: 0x00 to 0x19 enthalten.
  • F├╝r Content-Type: Muss einen der MIME-Typen application/x-www-form-urlencoded, multipart/form-data, oder text/plain (Parameter wie ein Qualit├Ątswert (Quality value) werden ignoriert)
  • F├╝r andere Header: Die L├Ąnge des Wertes darf 128 Bytes nicht ├╝berschreiten.

Mehr erfahren