CORS-безопасный заголовок запроса

CORS-безопасный заголовок запроса — это один из следующих HTTP-заголовков:

Если запрос содержит только эти заголовки (и значения, соответствующие дополнительным требованиям, изложенным ниже), запросу не требуется отправлять предварительный запрос в контексте CORS.

Дополнительные заголовки можно добавить в список безопасных, используя заголовок Access-Control-Allow-Headers, а также необходимо перечислить указанные выше заголовки, чтобы обойти следующие дополнительные ограничения.

Дополнительные ограничения

CORS-безопасные заголовки запроса должны соответствовать следующим требованиям:

Accept-Language и Content-Language должны содержать значения, состоящие только из 0-9, A-Z, a-z, пробелов и *,-.;=.
Accept и Content-Type не должны содержать CORS-небезопасные байты в заголовках запроса: 0x00-0x1F (за исключением 0x09 (HT), который допускается), "():<>?@[\]{} и 0x7F (DEL).
Content-Type должен иметь один из следующих MIME-типов: application/x-www-form-urlencoded, multipart/form-data или text/plain.
Range должен иметь однобайтовое значение в виде bytes=[0-9]+-[0-9]*. Смотрите документацию заголовка Range для более подробной информации.
Для значения любого заголовка не должна превышать 128.