获取元数据请求头

**获取元数据请求头** 是一个 HTTP 请求头,它提供有关请求来源上下文的额外信息。这使服务器能够根据请求的来源以及资源的使用方式做出决定,以确定是否允许请求。

通过这些信息,服务器可以实施资源隔离策略,允许外部网站仅请求旨在共享的资源,以及以适当的方式使用这些资源。这种方法可以帮助缓解常见的跨站点网页漏洞,例如 CSRF、跨站点脚本包含 (XSSI)、计时攻击和跨源信息泄露。

这些头以 Sec- 为前缀,因此具有 禁止的头名。因此,它们不能从 JavaScript 中修改。

获取元数据请求头包括:

以下请求头并非严格意义上的“获取元数据请求头”,因为它们并不在同一规范中,但同样提供有关资源使用方式上下文的相关信息。服务器可能会利用它们来修改缓存行为或返回的信息。

另请参阅