En-tête de métadonnées de requête de récupération

Un en-tête de métadonnées de requête de récupération (fetch metadata request header en anglais) est un en-tête de requête HTTP qui fournit des informations supplémentaires sur le contexte d'origine de la requête. Cela permet au serveur de décider si une requête doit être autorisée selon son emplacement d'origine et la façon dont la ressource sera utilisée.

Grâce à ces informations, un serveur peut implémenter une politique d'isolation des ressources, pour limiter l'accès aux seules ressources partageables pour les sites externes, lorsque l'usage correspondant est respecté. Cette approche permet de réduire les risques des vulnérabilités entre sites différents, comme CSRF, Cross-site Script Inclusion (XSSI), les attaques temporelles, et les fuites d'information entre origines.

Ces en-têtes ont le préfixe Sec-, et sont donc des noms d'en-tête interdits, qui ne peuvent pas être modifié depuis du code JavaScript.

Les en-têtes de métadonnées de requête de récupération sont :

• Sec-Fetch-Site (en-US)
• Sec-Fetch-Mode (en-US)
• Sec-Fetch-User (en-US)
• Sec-Fetch-Dest (en-US)

Quant aux en-têtes de requêtes qui suivent, ils ne font pas strictement partie des en-têtes de métadonnées de requête de récupération (au sens où ils ne font pas partie de la même spécification), mais fournissent également des informations sur la façon dont une ressource sera utilisée. Un serveur pourra utiliser les en-têtes suivants pour modifier son comportement de mise en cache ou les informations qui seront renvoyées :

• Sec-Purpose (en-US) Expérimental
• Service-Worker-Navigation-Preload (en-US)