Fetch 元数据请求头
Fetch 元数据请求头是 HTTP 请求头,它提供了有关请求来源上下文的额外信息。这使得服务器能够根据请求的来源以及资源的用途来决定是否允许该请求。
有了这些信息,服务器就可以实施资源隔离策略,允许外部站点仅请求那些 intended for sharing(供共享)且使用恰当的资源。这种方法有助于缓解常见的跨站点 Web 漏洞,例如 CSRF、跨站点脚本包含 (XSSI)、定时攻击和跨域信息泄露。
这些请求头以 Sec- 作为前缀,因此它们是 禁止的请求头。因此,它们不能从 JavaScript 修改。
Fetch 元数据请求头是
以下请求头并非严格意义上的“Fetch 元数据请求头”,因为它们不在同一规范中,但它们也同样提供了有关资源使用上下文的信息。服务器可能会使用它们来修改其缓存行为,或返回的信息。
另见
- 使用 Fetch 元数据保护你的资源免受网络攻击 (web.dev)
- Fetch 元数据请求头操场 (secmetadata.appspot.com)
- 所有 HTTP 头的列表
- 所有 HTTP 请求头列表 > Fetch 元数据请求头
- 相关词汇表术语