Fetch-Metadaten-Anforderungsheader
Ein Fetch-Metadaten-Anforderungsheader ist ein HTTP-Anforderungsheader, der zusätzliche Informationen über den Kontext liefert, aus dem die Anforderung stammt. Damit kann der Server entscheiden, ob eine Anforderung basierend darauf, woher sie kommt und wie die Ressource verwendet wird, erlaubt werden sollte.
Mit diesen Informationen kann ein Server eine Ressourcenisolation umsetzen, die es externen Sites erlaubt, nur die Ressourcen anzufordern, die für das Teilen vorgesehen sind und die angemessen verwendet werden. Dieser Ansatz kann helfen, häufige Web-Sicherheitslücken wie CSRF, Cross-site Script Inclusion (XSSI), Timing-Angriffe und Cross-Origin-Informationslecks zu mildern.
Diese Header sind mit Sec- vorangestellt und sind daher verbotene Anforderungsheader. Somit können sie nicht von JavaScript aus verändert werden.
Die Fetch-Metadaten-Anforderungsheader sind:
Die folgenden Anforderungsheader sind nicht streng genommen "Fetch-Metadaten-Anforderungsheader", da sie nicht in derselben Spezifikation enthalten sind, aber sie liefern ähnlich Informationen über den Kontext, wie eine Ressource verwendet wird. Ein Server könnte sie benutzen, um sein Caching-Verhalten oder die zurückgegebenen Informationen zu ändern:
Siehe auch
- Schützen Sie Ihre Ressourcen vor Webangriffen mit Fetch-Metadaten (web.dev)
- Fetch Metadata Request Headers Testumgebung (secmetadata.appspot.com)
- Liste aller HTTP-Header
- Liste aller HTTP-Header > Fetch-Metadaten-Anforderungsheader
- Verwandte Glossarbegriffe: