CORS-safelisted request header (CORS セーフリストリクエストヘッダー)
CORS セーフリストリクエストヘッダーは、次の HTTP ヘッダーのうちの一つです:
リクエストがこれらのヘッダーのみを含んでいて、なおかつ値が後述の追加要件に合致する場合は、プリフライトリクエストを CORS のコンテキストにおいて送る必要がありません。
Access-Control-Allow-Headers
ヘッダーを使うと、別のヘッダーをセーフリストとして追加したり、上記のヘッダーをリストアップすることで後述の追加要件を回避することができます。
追加要件
CORS セーフリストリクエストヘッダーとなるためには、次の要件も満たさなければなりません。
Accept-Language
とContent-Language
については、値が0-9
・A-Z
・a-z
・空白・*,-.;=
のみで構成されていなければなりません。Accept
とContent-Type
については、 CORS アンセーフリクエストヘッダーバイトと呼ばれる0x00-0x1F
(ただし、0x09 (HT)
は含めても良い)・"():<>?@[\]{}
・0x7F (DEL)
ををめてはいけません。Content-Type
は、値が解釈された結果の MIME タイプ(引数を除く)が、application/x-www-form-urlencoded
、multipart/form-data
、text/plain
のいずれかでなければなりません。Range
は単一バイトの範囲の値で、bytes=[0-9]+-[0-9]*
の形でなければなりません。 詳しくはRange
ヘッダーのドキュメントをご覧ください。- すべてのヘッダーについて、値の長さが 128 バイトを超えてはいけません。