列入 CORS 白名单的请求标头
列入 CORS 白名单的请求标头(CORS-safelisted request header,也被称作“简单标头”)包含以下 HTTP 标头:
当仅包含这些标头(以及符合下面列出的额外请求的值)时,在 CORS 上下文中的请求不需要发送预检请求。
你可以使用 Access-Control-Allow-Headers
标头将更多标头列入白名单,也可以在其中列出上述标头以绕过下面的附加限制。
附加限制
列入 CORS 白名单的标头还必须满足以下要求:
Accept-Language
和Content-Language
只能包含由0-9
、A-Z
、a-z
、空格或*,-.;=
组成的值。Accept
和Content-Type
不能包含 CORS 不安全的请求标头字节:0x00-0x1F
(除了0x09 (HT)
,这是被允许的)、"():<>?@[\]{}
,以及0x7F (DEL)
。Content-Type
的 MIME 类型的解析值(忽略参数)需要是application/x-www-form-urlencoded
、multipart/form-data
和text/plain
中的一个。Range
的值必须是由bytes=[0-9]+-[0-9]*
形式表示的字节范围。参见Range
标头文档以获取更多详细信息。- 对于任意标头:其值的长度不能超过 128。