CORS-safelisted request header (CORS セーフリストリクエストヘッダー)

リクエストがこれらのヘッダーのみを含んでいて、なおかつ値が後述の追加要件に合致する場合は、プリフライトリクエストを CORS のコンテキストにおいて送る必要がありません。

Access-Control-Allow-Headers ヘッダーを使うと、別のヘッダーをセーフリストとして追加したり、上記のヘッダーをリストアップすることで後述の追加要件を回避することができます。

CORS セーフリストリクエストヘッダーとなるためには、次の要件も満たさなければなりません。

Accept-Language と Content-Language については、値が 0-9・A-Z・a-z・空白・*,-.;= のみで構成されていなければなりません。
Accept と Content-Type については、 CORS アンセーフリクエストヘッダーバイトと呼ばれる 0x00-0x1F (ただし、0x09 (HT) は含めても良い)・"():<>?@[\]{}・0x7F (DEL) ををめてはいけません。
Content-Type は、値が解釈された結果の MIME タイプ（引数を除く）が、application/x-www-form-urlencoded、multipart/form-data、text/plain のいずれかでなければなりません。
Range は単一バイトの範囲の値で、 bytes=[0-9]+-[0-9]* の形でなければなりません。詳しくは Range ヘッダーのドキュメントをご覧ください。
すべてのヘッダーについて、値の長さが 128 バイトを超えてはいけません。