CORS-zugelassene Anfrage-Header

Ein CORS-zugelassener Anfrage-Header ist einer der folgenden HTTP Header:

Wenn eine Anfrage nur diese Header verwendet (und die Werte der Header unten beschriebene Anforderungen erfüllen), braucht die Anfrage kein preflight request im CORS-Kontext übermitteln.

Man kann weitere Header über den Access-Control-Allow-Headers-Header zulassen und listet man obige Header dort auf, lassen sich folgende Sicherheitsrestriktionen umgehen:

Zusätzliche Restriktionen

CORS-zugelassene Header müssen außerdem folgende Anforderungen erfüllen, um ein CORS-zugelassender Anfrage-Header zu sein:

  • Für Accept-Language und Content-Language: Kann lediglich Werte aus den Zeichen 0-9, A-Z, a-z, Space oder *,-.;=.
  • Für Accept und Content-Type: Darf keinen CORS-unsicheren Anfrage-Header-Byte: "():<>?@[\]{}, Delete, Tab and Kontrollzeichen: 0x00 to 0x19 enthalten.
  • Für Content-Type: Muss einen der MIME-Typen application/x-www-form-urlencoded, multipart/form-data, oder text/plain (Parameter wie ein Qualitätswert (Quality value) werden ignoriert)
  • Für andere Header: Die Länge des Wertes darf 128 Bytes nicht überschreiten.

Mehr erfahren