Verbotener Header-Name

Ein verbotener Header-Name, ist ein HTTP header Name, welcher nicht programmatisch modifiziert werden kann;  that cannot be modified programmatically; speziell, ein HTTP Anfragen-Header Name.

Konstrast mit Forbidden response header name.

Diese sind verboten, so, dass der User-Agent komplette Kontrolle über sie behällt. Namen die mit `Sec-` anfangen, sind reserviert, um neue Header zu erstellen, die sicher von APIs die Fetch nutzen sind, welche Entwicklern Kontrolle über Header, wie XMLHttpRequest, gibt.

Ein verbotener Header-Name fängt mit Proxy- oder Sec- an, oder ist einer der folgenen:

  • Accept-Charset
  • Accept-Encoding
  • Access-Control-Request-Headers
  • Access-Control-Request-Method
  • Connection
  • Content-Length
  • Cookie
  • Cookie2
  • Date
  • DNT
  • Expect
  • Host
  • Keep-Alive
  • Origin
  • Proxy-
  • Sec-
  • Referer
  • TE
  • Trailer
  • Transfer-Encoding
  • Upgrade
  • Via

Beachte: Der User-Agent-Header ist per Spezifikation nicht mehr verboten — siehe die Verbotene Header-Namen Liste (das wurde in Firefox 43 implementiert,) also kann nun in einem Fetch Headers Objekt, per XHR setRequestHeader(), etc. gesetzt werden.