Encabezado de solicitud incluido en la lista segura de CORS
Un encabezado de solicitud incluido en la lista segura de CORS es uno de los siguientes encabezados HTTP:
Cuando contenga solo estos encabezados (y valores que cumplan con los requisitos adicionales establecidos a continuación), una solicitud no necesita enviar una solicitud de verificación previa en el contexto de CORS.
Puede incluir en la lista segura más encabezados usando el encabezado Access-Control-Allow-Headers
y también enumerar los encabezados anteriores allí para eludir las siguientes restricciones adicionales:
Restricciones adicionales
Los encabezados incluidos en la lista segura de CORS también deben cumplir los siguientes requisitos para ser un encabezado de solicitud valido:
- Para
Accept-Language
yContent-Language
: solo puede tener valores que constan de0-9
,A-Z
,a-z
, espacio o*,-.;=
. - Para
Accept
yContent-Type
: no puede contener un encabezado byte_CORS-unsafe
:0x00-0x1F
(excepto0x09 (HT)
, que está permitido),"():<>?@[\]{}
, y0x7F (DEL)
. - Para
Content-Type
: debe tener un tipo MIME de su valor analizado (ignorando los parámetros) deapplication/x-www-form-urlencoded
,multipart/form-data
, otext/plain
. - Para cualquier encabezado: la longitud del valor no puede ser superior a 128.