Cette page a été traduite à partir de l'anglais par la communauté.Vous pouvez contribuer en rejoignant la communauté francophone sur MDN Web Docs.
En-tête de requête interdit
Un en-tête de requête interdit est une paire nom-valeur d'en-tête HTTP qui ne peut être modifié par programmation, spécifiquement, un nom d'en-tête de requête HTTP (contraste avecun en-tête de réponse interdit).
Les modifications de ces en-têtes sont interdites pour que l'agent utilisateur garde un total contrôle sur eux.Par exemple, l'en-têteDate est un en-tête de requête interdit, donc ce code ne peut pas définir le champDate du message :
fetch("https://httpbin.org/get", { headers: { Date: new Date().toUTCString(), },});Les noms commençant parSec- sont réservés à la création de nouveaux en-têtes protégés desAPI qui donnent aux développeur·euse·s le contrôle sur les en-têtes, commefetch().Les en-têtes interdits sont l'un des suivants :
Accept-CharsetAccept-EncodingAccess-Control-Request-HeadersAccess-Control-Request-MethodConnectionContent-LengthCookieDateDNTExpectHostKeep-AliveOriginPermissions-Policy- En-tête
Proxy- - En-tête
Sec- RefererTETrailerTransfer-EncodingUpgradeViaX-HTTP-Method, mais uniquement lorsqu'il contient un nom de méthode interdit (CONNECT,TRACE,TRACK)X-HTTP-Method-Override, mais uniquement lorsqu'il contient un nom de méthode interditX-Method-Override, mais uniquement lorsqu'il contient un nom de méthode interdit
Note :L'en-têteUser-Agent était auparavant interdit, mais ne l'est plus. Cependant, Chrome ignore toujours silencieusement cet en-tête dans les requêtes Fetch (voirChromium bug 571722).
Note :Bien que l'en-têteReferer soit listé comme interditdans la spécification(angl.), l'agent utilisateur n'en garde pas le contrôle total et l'en-tête peut être modifié par programmation. Par exemple, lors de l'utilisation defetch(), l'en-têteReferer peut être modifié par programmation via l'optionreferrer.
Note :Chrome interdit égalementAccess-Control-Request-Private-Network
Voir aussi
- Terme associé du glossaire :