CORS 安全列表请求头
CORS 安全请求头(也称为“简单请求头”)是以下 HTTP 请求头之一:
当请求仅包含这些请求头(且值符合下述额外要求)时,在 CORS 的上下文中,请求无需发送 预检请求。
你可以使用 Access-Control-Allow-Headers 请求头来安全列出更多请求头,并且也可以在此处列出上述请求头,以规避以下额外的限制。
额外限制
CORS 安全请求头还必须满足以下要求,才能成为 CORS 安全请求头:
Accept-Language和Content-Language的值只能包含0-9、A-Z、a-z、空格或*,-.;=。Accept和Content-Type不能包含 CORS 不安全请求头字节:0x00-0x1F(除了允许的0x09 (HT)),"():<>?@[\]{}和0x7F (DEL)。Content-Type的解析值(忽略参数)的 MIME 类型必须是application/x-www-form-urlencoded、multipart/form-data或text/plain。Range的值必须是单个字节范围,格式为bytes=[0-9]+-[0-9]*。有关更多详细信息,请参阅Range请求头文档。- 对于任何请求头:值的长度不能超过 128。
另见
- 相关词汇表术语