CORS-safelisted request header (CORS セーフリストリクエストヘッダー)

リクエストがこれらのヘッダーのみを含んでいて、なおかつ値が後述の追加要件に合致する場合は、プリフライトリクエストを CORS のコンテキストにおいて送る必要がありません。

Access-Control-Allow-Headers ヘッダーを使うと、別のヘッダーをセーフリストとして追加したり、上記のヘッダーをリストアップすることで後述の追加要件を回避することができます:

CORS セーフリストリクエストヘッダーとなるためには、次の要件も満たさなければなりません:

Accept-Language と Content-Language については、値が次の文字のみで構成されていなければなりません: 0-9・A-Z・a-z・空白・*,-.;=
Accept と Content-Type については、次の CORS アンセーフリクエストヘッダーバイトと呼ばれる文字を含んではいけません: 0x00-0x1F (ただし、0x09 (HT) は含めても良い)・"():<>?@[\]{}・0x7F (DEL).
Content-Type について: 値をパースした結果（パラメーターを除く）が、application/x-www-form-urlencoded か、multipart/form-data、text/plain のうち、いずれかの MIME タイプでなければなりません。
すべてのヘッダーについて: 値の長さが128バイトを超えてはいけません。