CORS-safelisted request header (CORS セーフリストリクエストヘッダー)
CORS セーフリストリクエストヘッダーは、次の HTTP ヘッダーのうちの一つです:
リクエストがこれらのヘッダーのみを含んでいて、なおかつ値が後述の追加要件に合致する場合は、プリフライトリクエストを CORS のコンテキストにおいて送る必要がありません。
Access-Control-Allow-Headers
ヘッダーを使うと、別のヘッダーをセーフリストとして追加したり、上記のヘッダーをリストアップすることで後述の追加要件を回避することができます:
追加要件
CORS セーフリストリクエストヘッダーとなるためには、次の要件も満たさなければなりません:
Accept-Language
とContent-Language
については、値が次の文字のみで構成されていなければなりません:0-9
・A-Z
・a-z
・空白・*,-.;=
Accept
とContent-Type
については、次の CORS アンセーフリクエストヘッダーバイトと呼ばれる文字を含んではいけません:0x00-0x1F
(ただし、0x09 (HT)
は含めても良い)・"():<>?@[\]{}
・0x7F (DEL)
.Content-Type
について: 値をパースした結果(パラメーターを除く)が、application/x-www-form-urlencoded
か、multipart/form-data
、text/plain
のうち、いずれかの MIME タイプでなければなりません。- すべてのヘッダーについて: 値の長さが128バイトを超えてはいけません。