获取元数据请求头
**获取元数据请求头** 是一个 HTTP 请求头,它提供有关请求来源上下文的额外信息。这使服务器能够根据请求的来源以及资源的使用方式做出决定,以确定是否允许请求。
通过这些信息,服务器可以实施资源隔离策略,允许外部网站仅请求旨在共享的资源,以及以适当的方式使用这些资源。这种方法可以帮助缓解常见的跨站点网页漏洞,例如 CSRF、跨站点脚本包含 (XSSI)、计时攻击和跨源信息泄露。
这些头以 Sec-
为前缀,因此具有 禁止的头名。因此,它们不能从 JavaScript 中修改。
获取元数据请求头包括:
以下请求头并非严格意义上的“获取元数据请求头”,因为它们并不在同一规范中,但同样提供有关资源使用方式上下文的相关信息。服务器可能会利用它们来修改缓存行为或返回的信息。
另请参阅
- 使用获取元数据保护你的资源免受网页攻击 (web.dev)
- 获取元数据请求头游乐场 (secmetadata.appspot.com)
- 所有 HTTP 头的列表
- 所有 HTTP 头 > 获取元数据请求头
- 相关术语