Sec-Fetch-Mode header
Baseline 2023Newly available
Since March 2023, this feature works across the latest devices and browser versions. This feature might not work in older devices or browsers.
Der HTTP Sec-Fetch-Mode fetch metadata request header gibt den Modus der Anfrage an.
Im Allgemeinen ermöglicht dies einem Server, zwischen Anfragen zu unterscheiden, die von einem Benutzer stammen, der zwischen HTML-Seiten navigiert, und Anfragen zum Laden von Bildern und anderen Ressourcen. Zum Beispiel würde dieser Header navigate für Anfragen bei der Top-Level-Navigation enthalten, während no-cors zum Laden eines Bildes verwendet wird.
| Header-Typ | Fetch Metadata Request Header |
|---|---|
| Verbotener Anfrage-Header | Ja (Sec- Präfix) |
| CORS-safelisted Anfrage-Header | Nein |
Syntax
Sec-Fetch-Mode: cors
Sec-Fetch-Mode: navigate
Sec-Fetch-Mode: no-cors
Sec-Fetch-Mode: same-origin
Sec-Fetch-Mode: websocket
Server sollten diesen Header ignorieren, wenn er einen anderen Wert enthält.
Direktiven
Hinweis:
Diese Direktiven entsprechen den Werten in Request.mode.
cors-
Die Anfrage ist eine CORS-Protokoll Anfrage.
-
Die Anfrage wird durch die Navigation zwischen HTML-Dokumenten initiiert.
no-cors-
Die Anfrage ist eine no-cors Anfrage (siehe
Request.mode). same-origin-
Die Anfrage erfolgt von demselben Ursprung wie die Ressource, die angefordert wird.
websocket-
Die Anfrage wird gemacht, um eine WebSocket Verbindung herzustellen.
Beispiele
Verwendung von Sec-Fetch-Mode
Wenn ein Benutzer auf einen Link zu einer anderen Seite desselben Ursprungs klickt, hätte die resultierende Anfrage die folgenden Header (beachten Sie, dass der Modus navigate ist):
Sec-Fetch-Dest: document
Sec-Fetch-Mode: navigate
Sec-Fetch-Site: same-origin
Sec-Fetch-User: ?1
Eine Cross-Site-Anfrage, die durch ein <img>-Element generiert wird, würde zu einer Anfrage mit den folgenden HTTP-Anfrage-Headern führen (beachten Sie, dass der Modus no-cors ist):
Sec-Fetch-Dest: image
Sec-Fetch-Mode: no-cors
Sec-Fetch-Site: cross-site
Spezifikationen
| Specification |
|---|
| Fetch Metadata Request Headers # sec-fetch-mode-header |
Browser-Kompatibilität
Siehe auch
Sec-Fetch-Dest,Sec-Fetch-Site,Sec-Fetch-Userfetch metadata request headers- Schützen Sie Ihre Ressourcen vor Webangriffen mit Fetch Metadata (web.dev)
- Fetch Metadata Request Headers Spielwiese (secmetadata.appspot.com)