Sec-Fetch-Mode
Baseline 2023
Newly available
Since March 2023, this feature works across the latest devices and browser versions. This feature might not work in older devices or browsers.
Der Sec-Fetch-Mode
Fetch-Metadaten-Anforderungsheader gibt den Modus der Anfrage an.
Grob gesagt, ermöglicht dies einem Server zwischen Anfragen zu unterscheiden, die von einem Benutzer stammen, der zwischen HTML-Seiten navigiert, und Anfragen zum Laden von Bildern und anderen Ressourcen. Beispielsweise würde dieser Header navigate
für Anfragen zur obersten Navigationsebene enthalten, während no-cors
für das Laden eines Bildes verwendet wird.
Headertyp | Fetch-Metadaten-Anforderungsheader |
---|---|
Verbotener Headername | ja (Präfix Sec- ) |
CORS-Angelsitelistungs-Anforderungsheader | nein |
Syntax
Sec-Fetch-Mode: cors
Sec-Fetch-Mode: navigate
Sec-Fetch-Mode: no-cors
Sec-Fetch-Mode: same-origin
Sec-Fetch-Mode: websocket
Server sollten diesen Header ignorieren, wenn er einen anderen Wert enthält.
Direktiven
Hinweis: Diese Direktiven entsprechen den Werten in Request.mode
.
cors
-
Die Anfrage ist eine CORS-Protokoll Anfrage.
-
Die Anfrage wird durch die Navigation zwischen HTML-Dokumenten initiiert.
no-cors
-
Die Anfrage ist eine no-cors Anfrage (siehe
Request.mode
). same-origin
-
Die Anfrage wird vom gleichen Ursprung gemacht wie die Ressource, die angefordert wird.
websocket
-
Die Anfrage wird gestellt, um eine WebSocket-Verbindung herzustellen.
Beispiele
Wenn ein Benutzer auf einen Seitenlink zu einer anderen Seite desselben Ursprungs klickt, enthält die resultierende Anfrage die folgenden Header (beachten Sie, dass der Modus navigate
ist):
Sec-Fetch-Dest: document
Sec-Fetch-Mode: navigate
Sec-Fetch-Site: same-origin
Sec-Fetch-User: ?1
Eine Cross-Site-Anfrage, die durch ein <img>
-Element generiert wird, würde zu einer Anfrage mit den folgenden HTTP-Anforderungsheadern führen (beachten Sie, dass der Modus no-cors
ist):
Sec-Fetch-Dest: image
Sec-Fetch-Mode: no-cors
Sec-Fetch-Site: cross-site
Spezifikationen
Specification |
---|
Fetch Metadata Request Headers # sec-fetch-mode-header |
Browser-Kompatibilität
BCD tables only load in the browser
Siehe auch
-
Verwandte Header
-
Schützen Sie Ihre Ressourcen vor Webangriffen mit Fetch Metadata (web.dev)
-
Fetch Metadata Request Headers playground (secmetadata.appspot.com)