Fetch 元資料請求頭
Fetch 元資料請求頭是 HTTP 請求頭,它提供了有關請求來源上下文的額外資訊。這使得伺服器能夠根據請求的來源以及資源的用途來決定是否允許該請求。
有了這些資訊,伺服器就可以實施資源隔離策略,允許外部站點僅請求那些 intended for sharing(供共享)且使用恰當的資源。這種方法有助於緩解常見的跨站點 Web 漏洞,例如 CSRF、跨站點指令碼包含 (XSSI)、定時攻擊和跨域資訊洩露。
這些請求頭以 Sec- 作為字首,因此它們是 禁止的請求頭。因此,它們不能從 JavaScript 修改。
Fetch 元資料請求頭是
以下請求頭並非嚴格意義上的“Fetch 元資料請求頭”,因為它們不在同一規範中,但它們也同樣提供了有關資源使用上下文的資訊。伺服器可能會使用它們來修改其快取行為,或返回的資訊。
另見
- 使用 Fetch 元資料保護你的資源免受網路攻擊 (web.dev)
- Fetch 元資料請求頭操場 (secmetadata.appspot.com)
- 所有 HTTP 頭的列表
- 所有 HTTP 請求頭列表 > Fetch 元資料請求頭
- 相關詞彙表術語