CORS-safelisted request header (CORS セーフリストリクエストヘッダー)

CORS セーフリストリクエストヘッダーは、次の HTTP ヘッダーのうちの一つです:

リクエストがこれらのヘッダーのみを含んでいて、なおかつ値が後述の追加要件に合致する場合は、プリフライトリクエストCORS のコンテキストにおいて送る必要がありません。

Access-Control-Allow-Headers ヘッダーを使うと、別のヘッダーをセーフリストとして追加したり、上記のヘッダーをリストアップすることで後述の追加要件を回避することができます。

追加要件

CORS セーフリストリクエストヘッダーとなるためには、次の要件も満たさなければなりません。

  • Accept-LanguageContent-Language については、値が 0-9A-Za-z・空白・*,-.;= のみで構成されていなければなりません。
  • AcceptContent-Type については、 CORS アンセーフリクエストヘッダーバイトと呼ばれる 0x00-0x1F (ただし、0x09 (HT) は含めても良い)・"():<>?@[\]{}0x7F (DEL) ををめてはいけません。
  • Content-Type は、値が解釈された結果の MIME タイプ(引数を除く)が、application/x-www-form-urlencodedmultipart/form-datatext/plain のいずれかでなければなりません。
  • Range は単一バイトの範囲の値で、 bytes=[0-9]+-[0-9]* の形でなければなりません。 詳しくは Range ヘッダーのドキュメントをご覧ください。
  • すべてのヘッダーについて、値の長さが 128 バイトを超えてはいけません。

関連情報