CORS-safelisted request header (CORS セーフリストリクエストヘッダー)
CORS セーフリストリクエストヘッダーは、次の HTTP ヘッダーのうちの一つです:
リクエストがこれらのヘッダーのみを含んでいて、なおかつ値が後述の追加要件に合致する場合は、プリフライトリクエストを CORS のコンテキストにおいて送る必要がありません。
Access-Control-Allow-Headers ヘッダーを使うと、別のヘッダーをセーフリストとして追加したり、上記のヘッダーをリストアップすることで後述の追加要件を回避することができます。
追加要件
CORS セーフリストリクエストヘッダーとなるためには、次の要件も満たさなければなりません。
Accept-LanguageとContent-Languageについては、値が0-9・A-Z・a-z・空白・*,-.;=のみで構成されていなければなりません。AcceptとContent-Typeについては、 CORS アンセーフリクエストヘッダーバイトと呼ばれる0x00-0x1F(ただし、0x09 (HT)は含めても良い)・"():<>?@[\]{}・0x7F (DEL)ををめてはいけません。Content-Typeは、値が解釈された結果の MIME タイプ(引数を除く)が、application/x-www-form-urlencoded、multipart/form-data、text/plainのいずれかでなければなりません。Rangeは単一バイトの範囲の値で、bytes=[0-9]+-[0-9]*の形でなければなりません。 詳しくはRangeヘッダーのドキュメントをご覧ください。- すべてのヘッダーについて、値の長さが 128 バイトを超えてはいけません。