Fetch-Metadaten-Anforderungsheader
Ein Fetch-Metadaten-Anforderungsheader ist ein HTTP-Anforderungsheader, der zusätzliche Informationen über den Kontext liefert, aus dem die Anfrage stammt. Dadurch kann der Server Entscheidungen darüber treffen, ob eine Anfrage sinnvoll ist basierend darauf, woher die Anfrage kommt und wie die Ressource verwendet wird.
Mit diesen Informationen kann ein Server eine Richtlinie zur Ressourcentrennung implementieren, die es externen Seiten ermöglicht, nur die Ressourcen anzufordern, die für die gemeinsame Nutzung vorgesehen sind und die geeignet verwendet werden. Dieser Ansatz kann dazu beitragen, gängige webseitenübergreifende Sicherheitslücken wie CSRF, Cross-site Script Inclusion (XSSI), Timing-Angriffe und länderübergreifende Informationslecks abzumildern.
Diese Header sind mit Sec- vorangestellt und haben daher verbotene Header-Namen. Sie können daher nicht von JavaScript aus geändert werden.
Die Fetch-Metadaten-Anforderungsheader sind:
Die folgenden Anforderungsheader sind nicht streng genommen "Fetch-Metadaten-Anforderungsheader", da sie nicht in der gleichen Spezifikation aufgeführt sind, aber ebenfalls Informationen über den Kontext liefern, wie eine Ressource verwendet wird. Ein Server könnte sie verwenden, um sein Caching-Verhalten zu ändern oder die Informationen, die zurückgegeben werden:
Siehe auch
- Schützen Sie Ihre Ressourcen vor Webangriffen mit Fetch Metadata (web.dev)
- Fetch Metadata Request Headers Playground (secmetadata.appspot.com)
- Liste aller HTTP-Header
- Liste aller HTTP-Header > Fetch-Metadaten-Anforderungsheader
- Verwandte Glossareinträge: