En-tête de métadonnées de requête de récupération
Un en-tête de métadonnées de requête de récupération (fetch metadata request header en anglais) est un en-tête de requête HTTP qui fournit des informations supplémentaires sur le contexte d'origine de la requête. Cela permet au serveur de décider si une requête doit être autorisée selon son emplacement d'origine et la façon dont la ressource sera utilisée.
Avec ces informations, un serveur peut mettre en œuvre une politique d'isolation des ressources, permettant aux sites externes de demander uniquement les ressources destinées au partage et utilisées de manière appropriée. Cette approche peut aider à atténuer des vulnérabilités web courantes entre sites, telles que les attaques de type CSRF, l'inclusion de scripts intersites (XSSI), les attaques par temporisation et les fuites d'informations entre origines.
Ces en-têtes sont préfixés par Sec- et sont donc des en-têtes de requête interdits. En tant que tels, ils ne peuvent pas être modifiés depuis JavaScript.
Les en-têtes de métadonnées de requête de récupération sont :
Les en-têtes de requête suivants ne sont pas strictement des « en-têtes de métadonnées de requête de récupération », car ils ne font pas partie de la même spécification, mais fournissent également des informations sur le contexte d'utilisation d'une ressource. Un serveur peut les utiliser pour modifier son comportement de mise en cache ou les informations qui seront renvoyées :
Voir aussi
- Liste des en-têtes HTTP
- En-têtes HTTP > En-têtes de métadonnées de requête
- Termes associés du glossaire :
- Protéger vos ressources des attaques web avec les en-têtes de métadonnées de requête (angl.) sur web.dev
- Bac à sable pour les en-têtes de métadonnées de requête (angl.) sur secmetadata.appspot.com