Abrufen von Metadatenanforderungsheadern
Ein Abrufen von Metadatenanforderungsheader ist ein HTTP-Anforderungsheader, der zusätzliche Informationen über den Kontext bereitstellt, aus dem die Anfrage stammt. Dies ermöglicht es dem Server, Entscheidungen darüber zu treffen, ob eine Anfrage basierend darauf, woher die Anfrage stammt und wie die Ressource verwendet wird, erlaubt werden sollte.
Mit diesen Informationen kann ein Server eine Ressourcenkontrollrichtlinie implementieren, die es externen Seiten erlaubt, nur jene Ressourcen anzufordern, die zum Teilen vorgesehen sind und die angemessen verwendet werden. Dieser Ansatz kann helfen, häufige Cross-Site-Web-Schwachstellen wie CSRF, Cross-Site Script Inclusion (XSSI), Timing-Attacken und Cross-Origin-Informationslecks zu mildern.
Diese Header sind mit Sec- präfixiert und sind daher verbotene Anforderungsheader. Sie können daher nicht von JavaScript aus modifiziert werden.
Die Abrufen von Metadatenanforderungsheadern sind:
Die folgenden Anforderungsheader sind nicht streng genommen "Abrufen von Metadatenanforderungsheadern", da sie nicht in derselben Spezifikation enthalten sind, aber ebenfalls Informationen über den Kontext bereitstellen, wie eine Ressource verwendet wird. Ein Server könnte sie verwenden, um sein Caching-Verhalten zu ändern oder die zurückgegebenen Informationen anzupassen:
Siehe auch
- Schützen Sie Ihre Ressourcen vor Webangriffen mit Fetch Metadata (web.dev)
- Fetch Metadata Request Headers Playground (secmetadata.appspot.com)
- Liste aller HTTP-Header
- Liste aller HTTP-Header > Abrufen von Metadatenanforderungsheadern
- Verwandte Glossarbegriffe: