禁止修改的消息首部

禁止修改的消息首部指的是不能在代码中通过编程的方式进行修改的 HTTP 消息首部,具体指 HTTP 请求消息首部(和禁止修改的响应消息首部形成对比)。

因为用户代理保留对此类消息首部的完全控制,所以它们被禁止修改。保留以 Sec- 开头的名称,以用于在使用 fetch 算法的请求中创建安全的新消息首部,这些 API 授予开发人员对消息首部的控制权,例如:XMLHttpRequest

禁止修改的消息首部包括以 Proxy-Sec- 开头的消息首部,以及下面列出的消息首部:

备注: 根据规范 中的禁止修改的消息首部列表(Firefox 43 中实现了它),User-Agent 消息首部不再被禁止,现在可以设置在 Fetch Headers 对象中,或者通过 XHR setRequestHeader() 设置。但是,Chrome 会不做提示地从 Fetch 请求中丢弃这个消息首部(请参阅 Chromium bug 571722)。

参见