Abruf-Metadaten-Anforderungsheader
Ein Abruf-Metadaten-Anforderungsheader ist ein HTTP-Anforderungsheader, der zusätzliche Informationen über den Kontext bereitstellt, aus dem die Anfrage stammt. Dies ermöglicht es dem Server, Entscheidungen darüber zu treffen, ob eine Anfrage basierend darauf, woher sie stammt und wie die Ressource genutzt wird, zugelassen werden soll.
Mit diesen Informationen kann ein Server eine Ressourcen-Isolationsrichtlinie implementieren, die es externen Websites erlaubt, nur die Ressourcen anzufordern, die für das Teilen vorgesehen und angemessen genutzt werden. Dieser Ansatz kann helfen, gängige Webseiten-Schwachstellen wie CSRF, Cross-Site Script Inclusion (XSSI), Zeitangriffs und Cross-Origin-Informationslecks zu entschärfen.
Diese Header sind mit Sec- vorangestellt und sind daher verbotene Anforderungsheader. Daher können sie nicht von JavaScript aus geändert werden.
Die Abruf-Metadaten-Anforderungsheader sind:
Die folgenden Anforderungsheader sind nicht streng genommen "Abruf-Metadaten-Anforderungsheader", da sie sich nicht in derselben Spezifikation befinden, aber ebenfalls Informationen über den Nutzungskontext einer Ressource bereitstellen. Ein Server könnte sie verwenden, um sein Caching-Verhalten oder die zurückgegebenen Informationen zu modifizieren:
Siehe auch
- Schützen Sie Ihre Ressourcen vor Webangriffen mit Fetch Metadata (web.dev)
- Fetch Metadata Request Headers playground (secmetadata.appspot.com)
- Liste aller HTTP-Header
- Liste aller HTTP-Header > Abruf-Metadaten-Anforderungsheader
- Verwandte Glossarbegriffe: