Запрещённое имя заголовка это имя какого-либо HTTP заголовка, который нельзя изменить программно. 

Изменение этих заголовков запрещено, потому что пользовательский агент (браузер) удерживает полный контроль над ними. Заголовки, чьи имена начинаются с `Sec-`, зарезервированы для создания новых заголовков, безопасных (отделённых) от APIs, используемого Fetch, которое даёт разработчику контроль над заголовками. Утверждение так же верно и для XMLHttpRequest.

Запрещенные имена заголовков начинаются с Proxy- или Sec-, или содержат нижеописанное:

  • Accept-Charset
  • Accept-Encoding
  • Access-Control-Request-Headers
  • Access-Control-Request-Method
  • Connection
  • Content-Length
  • Cookie
  • Cookie2
  • Date
  • DNT
  • Expect
  • Host
  • Keep-Alive
  • Origin
  • Proxy-
  • Sec-
  • Referer
  • TE
  • Trailer
  • Transfer-Encoding
  • Upgrade
  • Via

Заметка: Загловок User-Agent более не запрещён, как указано в спецификации — посмотрите список запрещённых заголовков (он был реализован в Firefox 43,) так что User-Agent может быть установлен через в объект Headers под Fetch через вызов метода setRequestHeader().

Метки документа и участники

Внесли вклад в эту страницу: crabovwik, JeanPaulLucien
Обновлялась последний раз: crabovwik,