目标
目标是统一整个网络平台上的获取操作,并提供一致的处理方式,包括以下内容:
- URL 方案
- 重定向
- 跨域语义
- CSP [CSP]
- Fetch Metadata [FETCH-METADATA]
- 服务工作线程 [SW]
- 混合内容 [MIX]
- 升级不安全请求 [UPGRADE-INSECURE-REQUESTS]
- `
Referer
` [REFERRER]
为此,它还取代了最初定义于The Web Origin Concept中的 HTTP `Origin
` 标头语义。 [ORIGIN]
1. 前言
在高层次上,获取资源是一个相当简单的操作。请求进入,响应出来。然而,这一操作的细节相当复杂,过去往往没有被仔细记录下来,且在不同的 API 中存在差异。
众多 API 提供了获取资源的能力,例如 HTML 的 img
和 script
元素,CSS 的 cursor
和
list-style-image
,
以及 navigator.sendBeacon()
和 self.importScripts()
JavaScript API。Fetch
标准为这些功能提供了统一的架构,使它们在处理重定向和 CORS 协议等各种获取方面保持一致。
Fetch 标准还定义了 fetch()
JavaScript API,它以相对较低的抽象层次暴露了大部分网络功能。
2. 基础设施
本规范依赖于 Infra 标准。[INFRA]
本规范使用了以下标准中的术语:ABNF、Encoding、HTML、 HTTP、MIME Sniffing、Streams、URL、Web IDL、 和 WebSockets。[ABNF] [ENCODING] [HTML] [HTTP] [MIMESNIFF] [STREAMS] [URL] [WEBIDL] [WEBSOCKETS]
ABNF 指由 HTTP 增强的 ABNF(特别是添加了
#
)以及 RFC 7405。[RFC7405]
凭据 包括 HTTP cookies、TLS 客户端证书,以及 认证条目(用于 HTTP 认证)。[COOKIES] [TLS] [HTTP]
Fetch 参数 是 结构体,用于 Fetch 算法中的簿记细节。它包含以下 项:
- 请求
- 一个 请求。
- 处理请求体块长度(默认值为 null)
- 处理请求体结束(默认值为 null)
- 处理早期提示响应(默认值为 null)
- 处理响应(默认值为 null)
- 处理响应体结束(默认值为 null)
- 处理响应体消耗(默认值为 null)
- null 或算法。
- 任务目的地(默认值为 null)
- null、全局对象,或 并行队列。
- 跨域隔离能力(默认值为 false)
- 一个布尔值。
- 控制器(默认值为一个新的 Fetch 控制器)
- 一个 Fetch 控制器。
- 时序信息
- 一个 Fetch 时序信息。
- 预加载响应候选项(默认值为 null)
- null、"
pending
",或 响应。
Fetch 控制器 是一个 结构体,用于让 Fetch 的调用者在开始后对其执行某些操作。它包含以下 项:
- 状态(默认值为
"
ongoing
") - "
ongoing
"、"terminated
" 或 "aborted
"。 - 完整时序信息(默认值为 null)
- null 或 Fetch 时序信息。
- 报告时序步骤(默认值为 null)
- null 或接受一个 全局对象 的算法。
- 序列化的中止原因(默认值为 null)
- null 或 记录(结构化序列化 的结果)。
- 下一个手动重定向步骤(默认值为 null)
- null 或不接受任何参数的算法。
要为一个 Fetch 控制器 controller 执行 处理下一个手动重定向:
-
断言:controller 的 下一个手动重定向步骤 不为 null。
-
调用 controller 的 下一个手动重定向步骤。
要中止一个fetch 控制器 controller,可选error:
-
将 controller 的 状态 设置为 "
aborted
"。 -
将 fallbackError 设置为 "
AbortError
"DOMException
。 -
如果未给定 error,则将其设置为 fallbackError。
-
将 serializedError 设置为 结构化序列化(error)。 如果抛出异常,则捕获并将 serializedError 设置为 结构化序列化(fallbackError)。
-
将 controller 的 序列化的中止原因 设置为 serializedError。
要反序列化一个序列化的中止原因,给定 null 或 记录 abortReason 及 realm realm:
-
将 fallbackError 设置为 "
AbortError
"DOMException
。 -
将 deserializedError 设置为 fallbackError。
-
如果 abortReason 不为 null,则将 deserializedError 设置为 结构化反序列化(abortReason, realm)。如果抛出异常或返回 undefined,则将 deserializedError 设置为 fallbackError。
-
返回 deserializedError。
一个 Fetch
参数 fetchParams 如果其 控制器 的
状态 是 "aborted
",则为中止。
一个 Fetch
参数 fetchParams 如果其 控制器 的
状态 是 "aborted
" 或 "terminated
",则为取消。
Fetch 时序信息 是一个 结构体,用于维护 资源 时序 和 导航时序 所需的时序信息。它包含以下 项:[RESOURCE-TIMING] [NAVIGATION-TIMING]
- 开始时间(默认值为 0)
- 重定向开始时间(默认值为 0)
- 重定向结束时间(默认值为 0)
- 重定向后开始时间(默认值为 0)
- 最终服务工作线程开始时间(默认值为 0)
- 最终网络请求开始时间(默认值为 0)
- 第一个临时网络响应开始时间(默认值为 0)
- 最终网络响应开始时间(默认值为 0)
- 结束时间(默认值为 0)
- 一个
DOMHighResTimeStamp
。 - 最终连接时序信息(默认值为 null)
- null 或 连接时序信息。
- 服务器时序标头(默认值为 « »)
- 一个字符串 列表。
- 渲染阻塞(默认值为 false)
- 一个布尔值。
响应体信息 是一个 结构体,用于维护 资源时序 和 导航时序 所需的信息。它包含以下 项:[RESOURCE-TIMING] [NAVIGATION-TIMING]
- 编码大小(默认值为 0)
- 解码大小(默认值为 0)
- 一个数字。
- 内容类型(默认值为空字符串)
- 一个 ASCII 字符串。
要 创建不透明时序信息,给定一个 Fetch 时序信息 timingInfo,返回一个新的 Fetch 时序信息,其 开始时间 和 重定向后开始时间 与 timingInfo 的 开始时间 相同。
要 序列化一个整数,将其表示为最短的小数字符串。
这将被 Infra 中更详细的算法替代。参见 infra/201。
2.1. URL
local scheme 是 "about
"、"blob
" 或
"data
"。
如果 URL 的 scheme 是 local scheme,则该 URL 是本地的。
此定义还被 Referrer Policy 使用。[REFERRER]
HTTP(S) scheme 是 "http
" 或
"https
"。
fetch scheme 是 "about
"、"blob
"、
"data
"、"file
" 或 HTTP(S) scheme。
HTTP(S) scheme 和 fetch scheme 也被 HTML 使用。[HTML]
2.2. HTTP
虽然 fetch 不仅仅涵盖 HTTP,但它从 HTTP 中借用了许多概念,并将这些概念应用于通过其他方式获取的资源(例如 data
URL)。
HTTP 制表符或空格 是 U+0009 制表符或 U+0020 空格。
HTTP 空白字符 是 U+000A 换行符、U+000D 回车符,或 HTTP 制表符或空格。
HTTP 空白字符 仅适用于在 HTTP 标头上下文之外重用的特定构造(例如 MIME 类型)。对于 HTTP 标头值,优先使用 HTTP 制表符或空格,而在该上下文之外则优先使用 ASCII 空白字符。与 ASCII 空白字符 不同的是,这里不包括 U+000C 换页符。
HTTP 换行字节 是 0x0A (LF) 或 0x0D (CR)。
HTTP 制表符或空格字节 是 0x09 (HT) 或 0x20 (SP)。
HTTP 空白字节 是 HTTP 换行字节 或 HTTP 制表符或空格字节。
要 收集 HTTP 引号字符串,从 字符串 input 中,给定一个 位置变量 position 及一个可选的布尔值 extract-value(默认为 false):
-
将 positionStart 设为 position。
-
将 value 设为空字符串。
-
断言:input 中 position 处的 码点 是 U+0022 (")。
-
将 position 前移 1。
-
执行如下操作,直到结束:
-
如果 extract-value 为 true,则返回 value。
-
返回 input 中从 positionStart 到 position 的 码点,包括在内。
2.2.1. 方法
CORS 安全列入白名单的方法 是
`GET
`、
`HEAD
` 或 `POST
` 的 方法。
禁止的方法 是 `CONNECT
`、`TRACE
` 或
`TRACK
` 的 方法,与 字节不区分大小写
相匹配。[HTTPVERBSEC1]、[HTTPVERBSEC2]、
[HTTPVERBSEC3]
要对 方法 进行 规范化,如果它是 `DELETE
`、`GET
`、
`HEAD
`、`OPTIONS
`、`POST
` 或 `PUT
` 的 字节不区分大小写
匹配项,则将其 字节大写化。
规范化 是为了向后兼容和跨 API 一致性进行的,因为 方法 实际上是 “区分大小写” 的。
使用 `patch
` 很可能会导致
`405 Method Not Allowed
`。而 `PATCH
` 更有可能成功。
对 方法 没有任何限制。
`CHICKEN
` 是完全可以接受的(而不是 `CHECKIN
` 的拼写错误)。除了那些 规范化
的方法外,对大小写也没有限制。
`Egg
` 或 `eGg
` 也是可以的,尽管为了统一建议使用大写。
2.2.2. 头
HTTP通常将头部称为“字段”或“头字段”。Web平台使用更口语化的术语“头”。[HTTP]
头列表本质上是一个专门的多映射:一个有序的键值对列表,可能有重复的键。由于除了`Set-Cookie
`之外的头在暴露给客户端JavaScript时总是被合并,实施可以选择更高效的表示,只要它们也支持与`Set-Cookie
`头相关的数据结构即可。
要获取结构化字段值,给定头名name和字符串type,从头列表list中,执行以下步骤。它们返回null或结构化字段值。
要设置结构化字段值,给定一个元组(头名name,结构化字段值structuredValue),在头列表list中:
结构化字段值定义为HTTP最终可以以有趣和有效的方式序列化的对象。目前,Fetch仅支持作为头值的字节序列,这意味着这些对象只能通过序列化设置在头列表中,且只能通过解析从头列表中获得。在未来,它们作为对象的事实可能会被端到端地保留。[RFC8941]
这是获取、解码和拆分的实际工作方式,name参数为`A
`:
头(如在网络上) | 输出 |
---|---|
| « "nosniff ", "" »
|
| |
| « "" » |
| null |
| « "text/html;", x/x " »
|
| |
| « "x/x;test="hi" ", "y/y " »
|
| |
| « "x / x ", "", "", "1 " »
|
| |
| « ""1,2" ", "3 " »
|
|
要获取、解码和拆分一个头值value,运行这些步骤。它们返回字符串列表。
-
让input成为等同解码value的结果。
-
让position成为input的位置变量,初始指向input的开头。
-
让values成为一个字符串列表,初始为« »。
-
让temporaryValue为空字符串。
-
当为真时:
-
将结果收集的代码点序列(不是U+0022(")或U+002C(,))从input中,给定position,添加到temporaryValue。
结果可能是空字符串。
-
如果 position 没有超出 input 的末尾,且 input 中 position 位置的 代码点 是 U+0022 ("):
-
将从 input 中,基于 position,收集到的 HTTP 引号字符串 结果追加到 temporaryValue。
- 如果 position 没有超出 input 的末尾,则 继续。
-
-
移除 temporaryValue 开头和结尾的所有HTTP 制表符或空格。
-
将 temporaryValue 追加到 values。
-
将 temporaryValue 设为空字符串。
-
如果 position 超出 input 的末尾,则返回 values。
-
将 position 前进 1。
-
除了特别指定的调用点,以上算法不得直接调用。应使用 获取、解码并拆分 代替。
一个头是一个元组,由一个名字(一个头名)和值(一个头值)组成。
一个头值是一个字节序列,匹配以下条件:
-
没有前导或尾随HTTP标签或空格字节。
-
不包含0x00(NUL)或HTTP换行字节。
头值的定义并不基于字段值标记生成,因为它与已部署的内容不兼容。
要确定是否一个头(name,value)是一个CORS安全列出的请求头,运行这些步骤:
-
如果value的长度大于128,则返回false。
-
字节小写name并根据结果切换:
- `
accept
` -
如果value包含一个CORS不安全的请求头字节,则返回false。
- `
accept-language
` - `
content-language
` -
如果value包含一个不在范围0x30(0)到0x39(9)之间的字节,不在范围0x41(A)到0x5A(Z)之间的字节,不在范围0x61(a)到0x7A(z)之间的字节,并且不是0x20(SP),0x2A(*),0x2C(,),0x2D(-),0x2E(.),0x3B(;),或0x3D(=)的字节,则返回false。
- `
content-type
` -
-
如果value包含一个CORS不安全的请求头字节,则返回false。
-
让mimeType成为结果解析 的结果,解析value的结果。
-
如果mimeType解析失败,则返回false。
-
如果mimeType的本质不是"
application/x-www-form-urlencoded
","multipart/form-data
",或"text/plain
",则返回false。
这故意不使用提取MIME类型,因为该算法相对宽容,而服务器并不期望实现它。
如果使用了提取MIME类型,以下请求将不会导致CORS预检,服务器上的简单解析器可能会将请求体视为JSON:
fetch
( "https://victim.example/naïve-endpoint" , { method: "POST" , headers: [ [ "Content-Type" , "application/json" ], [ "Content-Type" , "text/plain" ] ], credentials: "include" , body: JSON. stringify( exerciseForTheReader) }); -
- `
range
` -
-
让rangeValue成为结果解析单个范围头值给定value和false。
-
如果rangeValue解析失败,则返回false。
-
如果rangeValue[0]为null,则返回false。
由于网络浏览器历史上没有发出类似`
bytes=-500
`的范围,本算法不将它们列入白名单。
-
- 其他情况
-
返回false。
- `
-
返回true。
对于`Content-Type
`头的安全列表,有有限的例外,如在CORS协议例外中记录的那样。
一个CORS不安全的请求头字节是一个字节byte,满足以下任一条件:
-
byte小于0x20且不是0x09 HT
-
byte是0x22("),0x28(左括号),0x29(右括号),0x3A(:),0x3C(<),0x3E(>),0x3F(?),0x40(@),0x5B([),0x5C(\),0x5D(]),0x7B({),0x7D(}),或0x7F DEL。
CORS不安全的请求头名称,给定头列表headers,确定如下:
CORS非通配符请求头名称是一个头名,是与`Authorization
`字节不区分大小写匹配的。
特权的no-CORS请求头名称是一个头名,是与以下之一字节不区分大小写匹配的
- `
Range
`。
这些是可以由特权API设置的头,如果它们的关联请求对象被复制,则会被保留,但如果请求被非特权API修改,则会被移除。
提供了一个帮助程序来将范围头添加到特定请求。
CORS安全列出的响应头名称,给定列表的头名list,是一个头名,与以下之一字节不区分大小写匹配的:
- `
Cache-Control
` - `
Content-Language
` - `
Content-Length
` - `
Content-Type
` - `
Expires
` - `
Last-Modified
` - `
Pragma
` - 列表中的任何项,不是一个禁止的响应头名。
no-CORS安全列出的请求头名称是一个头名,是与以下之一字节不区分大小写匹配的:
- `
Accept
` - `
Accept-Language
` - `
Content-Language
` - `
Content-Type
`
要确定是否一个头(name,value)是一个no-CORS安全列出的请求头,运行这些步骤:
-
如果name不是一个no-CORS安全列出的请求头名,则返回false。
-
返回是否(name,value)是一个CORS安全列出的请求头。
一个头(name,value)是禁止的请求头,如果这些步骤返回true:
-
如果name是一个字节不区分大小写匹配的:
- `
Accept-Charset
` - `
Accept-Encoding
` - `
Access-Control-Request-Headers
` - `
Access-Control-Request-Method
` - `
Connection
` - `
Content-Length
` - `
Cookie
` - `
Cookie2
` - `
Date
` - `
DNT
` - `
Expect
` - `
Host
` - `
Keep-Alive
` - `
Origin
` - `
Referer
` - `
Set-Cookie
` - `
TE
` - `
Trailer
` - `
Transfer-Encoding
` - `
Upgrade
` - `
Via
`
则返回true。
- `
-
如果name是一个字节不区分大小写匹配的:
- `
X-HTTP-Method
` - `
X-HTTP-Method-Override
` - `
X-Method-Override
`
则:
- `
-
返回false。
禁止的响应头名是一个头名,是与以下之一字节不区分大小写匹配的:
- `
Set-Cookie
` - `
Set-Cookie2
`
请求体头名称是一个头名,是与以下之一字节不区分大小写匹配的:
- `
Content-Encoding
` - `
Content-Language
` - `
Content-Location
` - `
Content-Type
`
要提取头值,给定头header,运行这些步骤:
要构建内容范围,给定一个整数rangeStart,一个整数rangeEnd,和一个整数fullLength,运行这些步骤:
要解析单个范围头值从字节序列value和一个布尔值allowWhitespace,运行这些步骤:
-
让data成为同构解码的value。
-
如果data不以"
bytes
"开头,则返回失败。 -
如果allowWhitespace为true,收集一个代码点序列,这些是HTTP制表符或空格,来自data给定position。
-
如果position内data的代码点不是U+003D(=),则返回失败。
-
将position前进1。
-
如果allowWhitespace为true,收集一个代码点序列,这些是HTTP制表符或空格,来自data给定position。
-
让rangeStartValue成为rangeStart,解释为十进制数,如果rangeStart不是空字符串;否则为null。
-
如果allowWhitespace为true,收集一个代码点序列,这些是HTTP制表符或空格,来自data给定position。
-
如果position内data的代码点不是U+002D(-),则返回失败。
-
将position前进1。
-
如果allowWhitespace为true,收集一个代码点序列,这些是HTTP制表符或空格,来自data给定position。
-
让rangeEndValue成为rangeEnd,解释为十进制数,如果rangeEnd不是空字符串;否则为null。
-
如果position不是data的末尾,则返回失败。
-
如果rangeEndValue和rangeStartValue是null,则返回失败。
-
如果rangeStartValue和rangeEndValue是数字,并且rangeStartValue大于rangeEndValue,则返回失败。
-
返回(rangeStartValue,rangeEndValue)。
范围结束或起始可以省略,例如`
bytes=0-
`或`bytes=-500
`是有效的范围。
解析单个范围头值对于允许的范围头值子集是成功的,但它是用户代理在请求媒体或恢复下载时使用的最常见形式。这种格式的范围头值可以使用添加范围头设置。
默认的`User-Agent
`值是一个实现定义的头值为`User-Agent
`头。
文档`Accept
`头值是`text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
`。
2.2.3. 状态码
状态码是一个在0到999范围内的整数。
将HTTP/1的status-code
映射到这个概念中的各种边缘情况正在问题 #1156中处理。
空体状态码是一个状态码,其值为101、103、204、205或304。
成功状态码是一个在200到299范围内的状态码。
重定向状态码是一个状态码,其值为301、302、303、307或308。
2.2.4. 主体
主体包括以下内容:
-
流(一个
ReadableStream
对象)。 -
长度(null或整数),初始为null。
要逐步读取一个主体body,给定一个算法processBodyChunk、一个算法processEndOfBody、一个算法processBodyError,以及一个可选的null、并行队列或全局对象taskDestination(默认为null),请执行以下步骤。processBodyChunk必须是接受字节序列的算法。processEndOfBody必须是接受无参数的算法。processBodyError必须是接受异常的算法。
要执行逐步读取循环,给定一个ReadableStreamDefaultReader
对象reader、并行队列或全局对象taskDestination、算法processBodyChunk、算法processEndOfBody和算法processBodyError:
-
让readRequest成为以下读取请求:
-
从reader读取一个块,给定readRequest。
要完全读取一个主体body,给定一个算法processBody、一个算法processBodyError,以及一个可选的null、并行队列或全局对象taskDestination(默认为null),请执行以下步骤。processBody必须是接受字节序列的算法。processBodyError必须是一个可选的接受异常的算法。
带类型的主体是一个元组,包括一个主体(一个主体)和一个类型(一个头部值或null)。
要处理内容编码,给定codings和bytes,请执行以下步骤:
-
如果codings不受支持,则返回bytes。
-
返回使用codings解码bytes的结果,如HTTP中所述,如果解码未导致错误,则返回结果,否则失败。[HTTP]
2.2.5. 请求
本节详细记录了请求的工作原理。要开始,请参阅 设置请求。
输入到fetch的是一个请求。
一个请求有一个相关联的方法(一个方法)。除非另有说明,否则它是`GET
`。
在重定向过程中,可以将其更新为`GET
`,如HTTP 获取中所述。
建议实现将其设为指向URL列表中第一个URL的指针。它仅作为其他标准集成Fetch的便利字段提供。
一个请求有一个相关联的仅限本地URL标志。除非另有说明,否则该标志未设置。
一个请求有一个相关联的头列表(一个头列表)。除非另有说明,否则它为« »。
一个请求有一个相关联的不安全请求标志。除非另有说明,否则该标志未设置。
通过APIs如fetch()
和XMLHttpRequest
,设置不安全请求标志,以确保根据所提供的方法和头列表执行CORS预检Fetch。这并不意味着API可以使用禁止的方法和禁止的请求头。
一个请求有一个相关联的body(null,一个字节序列,或一个主体)。除非另有说明,否则它为null。
将会安全地提取到一个主体中,并且在HTTP 获取过程中,可能会因为某些重定向而将此字段设置为null。
一个请求有一个相关联的客户端(null或一个环境设置对象)。
一个请求有一个相关联的保留的客户端(null,一个环境,或一个环境设置对象)。除非另有说明,否则它为null。
这仅用于导航请求和worker请求,但不包括服务worker请求。它引用了一个环境用于导航请求和一个环境设置对象用于worker请求。
一个请求有一个相关联的替代客户端ID(一个字符串)。除非另有说明,否则它是空字符串。
这仅用于导航请求。它是目标浏览上下文的id的活动文档的环境设置对象的ID。
一个请求有一个相关联的window("no-window
","client
"或一个环境设置对象,其全局对象是一个Window
对象)。除非另有说明,否则它是"client
"。
"client
"的值在fetching过程中会被更改为"no-window
"或请求的客户端。它为标准提供了一种方便的方式,不必显式设置请求的window。
一个请求有一个相关联的布尔值keepalive。除非另有说明,否则它为false。
这可以用于允许请求超出环境设置对象的生命周期,例如,navigator.sendBeacon()
和HTML
img
元素会使用此功能。设置为true的请求需要额外的处理要求。
一个请求有一个相关联的发起者类型,可以是null,"audio
",
"beacon
",
"body
",
"css
",
"early-hints
",
"embed
",
"fetch
",
"font
",
"frame
",
"iframe
",
"image
",
"img
",
"input
",
"link
",
"object
",
"ping
",
"script
",
"track
",
"video
",
"xmlhttprequest
",或"other
"。除非另有说明,否则它为null。[RESOURCE-TIMING]
一个请求有一个相关联的service-workers模式,它可以是"all
"或"none
"。除非另有说明,否则它为"all
"。
这决定了哪些service workers会接收到这个fetch的fetch
事件。
- "
all
" - 相关的service workers会为这个fetch接收到
fetch
事件。 - "
none
" - 没有service workers会为这个fetch接收到事件。
一个请求有一个相关联的发起者,可以是空字符串,"download
","imageset
","manifest
","prefetch
","prerender
",或"xslt
"。除非另有说明,否则它为空字符串。
目前,请求的发起者的粒度不是特别细,因为其他规范不需要它如此。它主要是一个规范工具,用于辅助定义CSP和混合内容。它不会暴露给JavaScript。[CSP] [MIX]
一个请求有一个相关联的目的地,可以是空字符串,"audio
",
"audioworklet
",
"document
",
"embed
",
"font
",
"frame
",
"iframe
",
"image
",
"json
",
"manifest
",
"object
",
"paintworklet
",
"report
",
"script
",
"serviceworker
",
"sharedworker
",
"style
",
"track
",
"video
",
"webidentity
",
"worker
",
或"xslt
"。除非另有说明,否则它为空字符串。
这些在RequestDestination
中反映出来,除了"serviceworker
"和"webidentity
",因为具有这些目的地的fetch会跳过service
workers。
一个请求的目的地是类似脚本,如果它是"audioworklet
","paintworklet
","script
","serviceworker
","sharedworker
",或"worker
"。
使用类似脚本的算法还应该考虑"xslt
",因为它也可以导致脚本执行。它未包含在列表中,因为它并不总是相关,并且可能需要不同的行为。
下表说明了请求的发起者、目的地、CSP指令和功能之间的关系。对于功能而言,它并不详尽。功能需要在各自的标准中定义相关的值。
发起者 | 目的地 | CSP 指令 | 功能 |
---|---|---|---|
"" | "report "
|
— | CSP,NEL报告。 |
"document "
|
HTML的导航算法(仅限顶级)。 | ||
"frame "
|
child-src
|
HTML的<frame>
|
|
"iframe "
|
child-src
|
HTML的<iframe>
|
|
"" | connect-src
|
navigator.sendBeacon() ,EventSource ,HTML的<a ping=""> 和<area ping=""> ,fetch() ,XMLHttpRequest ,WebSocket ,缓存
API
|
|
"object "
|
object-src
|
HTML的<object>
|
|
"embed "
|
object-src
|
HTML的<embed>
|
|
"audio "
|
media-src
|
HTML的<audio>
|
|
"font "
|
font-src
|
CSS的@font-face
|
|
"image "
|
img-src
|
HTML的<img src> ,/favicon.ico 资源,SVG的<image> ,CSS的background-image ,CSS的cursor ,CSS的list-style-image ,…
|
|
"audioworklet "
|
script-src
|
audioWorklet.addModule()
|
|
"paintworklet "
|
script-src
|
CSS.paintWorklet.addModule()
|
|
"script "
|
script-src
|
HTML的<script> ,importScripts()
|
|
"serviceworker "
|
child-src ,script-src ,worker-src
|
navigator.serviceWorker.register()
|
|
"sharedworker "
|
child-src ,script-src ,worker-src
|
SharedWorker
|
|
"webidentity "
|
connect-src
|
Federated Credential Management请求
|
|
"worker "
|
child-src ,script-src ,worker-src
|
Worker
|
|
"json "
|
connect-src
|
import "..." with { type: "json" }
|
|
"style "
|
style-src
|
HTML的<link rel=stylesheet> ,CSS的@import ,import "..." with { type: "css" }
|
|
"track "
|
media-src
|
HTML的<track>
|
|
"video "
|
media-src
|
HTML的<video> 元素
|
|
"download "
|
"" | — | HTML的download="" ,“另存为...” UI
|
"imageset "
|
"image "
|
img-src
|
HTML的<img srcset> 和<picture>
|
"manifest "
|
"manifest "
|
manifest-src
|
HTML的<link rel=manifest>
|
"prefetch "
|
"" | default-src (无特定指令)
|
HTML的<link rel=prefetch>
|
"prerender "
|
HTML的<link rel=prerender>
|
||
"xslt "
|
"xslt "
|
script-src
|
<?xml-stylesheet>
|
CSP的form-action
需要直接在HTML的导航或表单提交算法中挂钩。
CSP还需要检查请求的客户端的全局对象的关联的Document
的祖先导航以适用于各种CSP指令。
一个请求有一个相关联的优先级,可以是"high
"、"low
"或
"auto
"。除非另有说明,否则它是"auto
"。
一个请求有一个相关联的内部优先级(null 或一个实现定义的对象)。除非另有说明,否则它是null。
一个请求有一个相关联的源,可以是
"client
"或一个源。除非另有说明,否则它是
"client
"。
"client
"在源在获取过程中发生改变时提供了
方便的方式,避免标准需要设置请求的源。
一个请求有一个相关联的策略容器,可以是
"client
"或一个策略容器。除非另有说明,否则它是
"client
"。
"client
"在策略容器在获取过程中发生改变时提供了
方便的方式,避免标准需要设置请求的策略容器。
一个请求有一个相关联的引用者,可以是
"no-referrer
"、"client
"或一个URL。除非另有说明,
它是"client
"。
"client
" 在获取过程中会更改为
"no-referrer
" 或URL。它为标准提供了一种方便的方式,不必设置请求的引用。
一个请求有一个相关联的引用者策略,它是一个引用者策略。除非另有说明,否则它是空字符串。[REFERRER]
这可以用于覆盖此请求的引用者策略。
一个请求有一个相关联的模式,可以是
"same-origin
"、"cors
"、"no-cors
"、
"navigate
"或"websocket
"。除非另有说明,否则它是
"no-cors
"。
一个请求有一个相关联的使用CORS预检标志。除非另有说明,否则它是未设置的。
设置use-CORS-preflight 标志是导致CORS
预检请求的几个条件之一。如果在XMLHttpRequestUpload
对象上注册了一个或多个事件监听器,或在请求中使用了ReadableStream
对象,则会设置use-CORS-preflight 标志。
一个请求有一个相关联的凭证模式,
可以是"omit
"、"same-origin
"或
"include
"。除非另有说明,否则它是"same-origin
"。
- "
omit
" - 从此请求中排除凭证,并使响应中返回的任何凭证被忽略。
- "
same-origin
" - 包括向同源URL发出的请求中的凭证,并使用从同源URL返回的任何凭证。
- "
include
" - 总是包括此请求的凭证,并总是使用响应中返回的任何凭证。
请求的凭证模式控制着在获取期间凭证的流动。当请求的模式是
"navigate
"时,它的凭证模式
被认为是"include
",并且fetch目前不
考虑其他值。如果HTML在此处进行更改,此标准将需要相应的更改。
一个请求有一个相关联的使用URL凭证标志。 除非另有说明,否则它是未设置的。
当此标志设置时,当一个请求的URL具有一个用户名和 密码,并且存在一个认证条目用于该请求,则该URL的凭证优先于认证条目的凭证。现代规范避免设置此标志,因为在URL中放置凭证是不被鼓励的,但一些旧的功能为兼容性原因而设置此标志。
一个请求有一个相关联的缓存模式,可以是
"default
"、"no-store
"、"reload
"、
"no-cache
"、"force-cache
"或
"only-if-cached
"。除非另有说明,否则它是"default
"。
- "
default
" - Fetch将在访问网络的途中检查HTTP缓存。如果HTTP缓存中包含匹配的新鲜响应,它将被返回。如果HTTP缓存中包含匹配的stale-while-revalidate响应,它将被返回,并将进行一个条件网络获取以更新HTTP缓存中的条目。如果HTTP缓存中包含匹配的过期响应,将返回一个条件网络获取以更新HTTP缓存中的条目。否则,将返回一个非条件网络获取以更新HTTP缓存中的条目。[HTTP][HTTP-CACHING][STALE-WHILE-REVALIDATE]
- "
no-store
" - Fetch的行为就好像根本没有HTTP缓存一样。
- "
reload
" - Fetch的行为就像在访问网络的途中没有HTTP缓存。因此,它会创建一个正常请求,并用响应更新HTTP缓存。
- "
no-cache
" - 如果HTTP缓存中有响应,Fetch将创建一个条件请求,否则创建一个正常请求。然后它用响应更新HTTP缓存。
- "
force-cache
" - Fetch使用HTTP缓存中与请求匹配的任何响应,而不关注陈旧性。如果没有响应,它会创建一个正常请求,并用响应更新HTTP缓存。
- "
only-if-cached
" - Fetch使用HTTP缓存中与请求匹配的任何响应,而不关注陈旧性。如果没有响应,它会返回一个网络错误。(只能在请求的模式为"
same-origin
"时使用。任何缓存的重定向都将被遵循,前提是请求的重定向模式为"follow
",并且重定向不会违反请求的模式。)
如果头列表包含`If-Modified-Since
`、`If-None-Match
`、`If-Unmodified-Since
`、`If-Match
`或`If-Range
`,fetch将在其缓存模式为"default
"时,将其设置为"no-store
"。
一个请求有一个相关联的重定向模式,可以是
"follow
"、"error
"或"manual
"。
除非另有说明,否则它是"follow
"。
- "
follow
" - 在获取资源时遵循所有重定向。
- "
error
" - 当请求遇到重定向时,返回一个网络错误。
- "
manual
" - 在请求遇到重定向时,获取一个不透明重定向过滤响应,以允许服务工作者离线重播重定向。响应在其他方面与网络错误无法区分,以不违反原子HTTP重定向处理。
一个请求有一个相关联的完整性元数据(一个字符串)。除非另有说明,否则它是空字符串。
一个请求有一个相关联的加密随机数元数据(一个字符串)。除非另有说明,否则它是空字符串。
一个请求有一个相关联的解析器元数据,可以是空字符串、
"parser-inserted
"或
"not-parser-inserted
"。除非另有说明,否则它是空字符串。
一个请求的加密随机数元数据和解析器元数据通常从HTML元素的属性和标志中填充,这些元素负责创建一个请求。它们用于内容安全策略中的各种算法,以确定在给定上下文中是否应阻止请求或响应。
一个请求有一个相关联的重新加载导航标志。 除非另有说明,否则它未设置。
此标志仅供HTML的导航算法专用。[HTML]
一个请求有一个相关联的历史导航标志。 除非另有说明,否则它未设置。
此标志仅供HTML的导航算法专用。[HTML]
一个请求有一个相关联的布尔值用户激活。 除非另有说明,否则它为false。
这是HTML的导航算法专用的。[HTML]
一个请求有一个相关联的布尔值渲染阻塞。 除非另有说明,否则它为false。
此标志仅供HTML的渲染阻塞机制专用。[HTML]
一个请求有一个相关联的URL列表(一个或多个列表)。 除非另有说明,否则它是包含请求的URL的副本的列表。
一个请求有一个相关联的当前URL。 它是指向最后一个URL的指针,在请求的URL列表中。
一个请求有一个相关联的重定向计数。 除非另有说明,否则它为零。
一个请求有一个相关联的响应污染,
它可以是"basic
"、"cors
"或"opaque
"。
除非另有说明,否则它是"basic
"。
一个请求有一个相关联的防止no-cache缓存控制标头修改标志。 除非另有说明,否则它未设置。
一个请求有一个相关联的完成标志。 除非另有说明,否则它未设置。
一个请求有一个相关联的时间允许失败标志。除非另有说明,否则它未设置。
一个请求的URL列表、当前URL、重定向计数、响应污染、完成标志和时间允许失败标志由Fetch算法用作簿记详情。
子资源请求是一个请求,其目标是"audio
"、
"audioworklet
"、
"font
"、"image
"、"json
"、"manifest
"、
"paintworklet
"、"script
"、"style
"、"track
"、
"video
"、"xslt
"或空字符串。
非子资源请求是一个请求,其目标是"document
"、"embed
"、
"frame
"、"iframe
"、"object
"、
"report
"、
"serviceworker
"、"sharedworker
"或"worker
"。
导航请求是一个请求,其目标是
"document
"、"embed
"、"frame
"、"iframe
"或"object
"。
一个请求 请求如果满足以下步骤返回true,则具有一个重定向污染来源:
为了克隆一个请求 请求,运行以下步骤:
为了添加范围标头到一个请求 请求,并带有一个整数first和一个可选的整数last,运行以下步骤:
-
断言:未提供last,或first小于或等于last。
-
令rangeValue为`
bytes=
`。 -
将0x2D (-)附加到rangeValue。
范围标头表示一个包含的字节范围。这里一个范围标头first是0而last是500,表示一个501字节的范围。
将多个响应组合成一个逻辑资源的功能历来是安全漏洞的来源。请为涉及部分响应的功能寻求安全审查。
为了序列化响应URL以进行报告,给定一个响应 响应,运行以下步骤:
为了检查跨源嵌入策略是否允许凭证,给定一个请求请求,运行以下步骤:
2.2.6. 响应
Fetch的结果是一个响应。一个响应会随着时间的推移而演变。也就是说,并不是所有的字段都能立即获得。
一个响应有一个相关联的类型,它可以是
"basic
",
"cors
",
"default
",
"error
",
"opaque
",或
"opaqueredirect
"。
除非另有说明,否则它是"default
"。
一个响应可以有一个相关联的中止标志,该标志最初未设置。
这表明请求被开发人员或终端用户故意中止。
一个响应有一个相关联的URL。它是指向URL的指针,位于响应的URL 列表的最后,如果响应的URL 列表为空,则为null。
一个响应有一个相关联的URL 列表(一个列表,包含零个或多个URL)。除非另有说明,否则它是« »。
除去第一个和最后一个URL(如果有的话),响应的URL 列表不会直接暴露给脚本,因为那样会违反原子 HTTP 重定向处理。
一个响应有一个相关联的状态,它是一个状态。 除非另有说明,否则它是200。
一个响应有一个相关联的状态消息。除非另有说明,否则它是空字节序列。
通过 HTTP/2 连接的响应始终将状态消息设为空字节序列,因为 HTTP/2 不支持它们。
一个响应有一个相关联的标头列表(一个标头列表)。除非另有说明,否则它是« »。
一个响应有一个相关联的正文(为null或正文)。除非另有说明,否则它是null。
一个响应有一个相关联的缓存状态(空字符串,
"local
",或"validated
")。除非另有说明,否则它是空字符串。
这是为了供Service Workers和Resource Timing使用。[SW] [RESOURCE-TIMING]
一个响应有一个相关联的CORS暴露的标头名称列表(零个或多个标头的名称的列表)。除非另有说明,否则列表为空。
一个响应通常会通过从`Access-Control-Expose-Headers
`标头中提取标头值来设置其CORS暴露的标头名称列表。此列表用于CORS 过滤响应以确定要暴露哪些标头。
一个响应有一个相关联的请求范围标志,最初未设置。
这是用来防止将早期范围请求的部分响应提供给没有发出范围请求的API。有关攻击的详细描述,请参见标志的使用情况。
一个响应有一个相关联的请求包含凭证(布尔值),最初为true。
一个响应有一个相关联的时间允许通过标志,最初未设置。
这是为了使Fetch的调用方可以通过查看返回响应的标志来确定是否允许对提取的资源使用敏感的时间数据。因为在重定向链中的前一个响应已设置标志时,重定向响应的标志也必须设置,这也通过请求的时间允许失败标志进行内部跟踪。
一个响应有一个相关联的正文信息(一个响应正文信息)。除非另有说明,否则它是新的响应正文信息。
一个响应有一个相关联的服务工作者计时信息(为null或服务工作者计时信息),最初为null。
一个响应有一个相关联的存在跨域重定向(布尔值),最初为false。
一个网络错误是一个响应,其类型为"error
",状态
为0,状态消息为空字节序列,标头列表为« »,正文为
null,且正文信息为新的响应正文信息。
一个过滤响应是一个响应,它对相关联的响应提供有限的视图。此相关联的响应可以通过内部响应访问(一个既不是网络错误也不是过滤响应的响应)。
除非另有说明,过滤响应的相关概念(如其正文)指的是其内部响应的相关概念。(对这些的例外情况列在定义过滤响应的具体类型时。)
Fetch算法通过processResponse和等效参数来暴露过滤响应,以确保它们不会意外泄露信息。如果出于遗留原因需要揭示信息,例如向解码器提供图像数据,规范算法可以使用相关联的内部响应。
新规范不应在不透明过滤响应或不透明重定向过滤响应上进一步构建。它们是遗留构造,并且在当代计算机架构下无法始终得到充分保护。
一个基本过滤响应是一个过滤响应,其类型为"basic
",且标头列表排除内部响应的标头列表中名称为禁止的响应标头名称的任何标头。
一个CORS 过滤响应是一个过滤响应,其类型为"cors
",且标头列表排除内部响应的标头列表中名称CORS-安全列入的响应标头名称的标头。
一个不透明过滤响应是一个过滤响应,其类型为"opaque
",URL
列表为« »,状态为0,状态消息为空字节序列,标头列表为« »,正文为null,且正文信息为新的响应正文信息。
一个不透明重定向过滤响应是一个过滤响应,其类型为"opaqueredirect
",状态为0,状态消息为空字节序列,标头列表为« »,正文为null,且正文信息为新的响应正文信息。
暴露不透明重定向过滤响应的URL 列表是无害的,因为未执行任何重定向。
换句话说,一个不透明过滤响应和一个不透明重定向过滤响应与网络错误几乎无法区分。在引入新的 API 时,请不要在规范算法中使用内部响应,因为那样会泄露信息。
这也意味着 JavaScript API,例如response.ok
,将返回相当无用的结果。
console. log( new Response(). type); // "default"
console. log(( await fetch( "/" )). type); // "basic"
console. log(( await fetch( "https://api.example/status" )). type); // "cors"
console. log(( await fetch( "https://crossorigin.example/image" , { mode: "no-cors" })). type); // "opaque"
console. log(( await fetch( "/surprise-me" , { redirect: "manual" })). type); // "opaqueredirect"
(这假设存在各种资源,https://api.example/status
具有适当的 CORS 标头,并且/surprise-me
使用重定向状态。)
要克隆一个响应 response,运行以下步骤:
一个陈旧但重新验证响应是一个响应,它不是一个新鲜响应,其当前年龄在陈旧但重新验证寿命内。[HTTP-CACHING] [STALE-WHILE-REVALIDATE]
一个陈旧响应是一个响应,它不是一个新鲜响应或一个陈旧但重新验证响应。
给定null或一个ASCII 字符串 requestFragment,一个响应 response的位置 URL是以下步骤返回的值。它们返回null、失败或一个URL。
-
将location设置为给定`
Location
`和response的标头列表提取标头列表值的结果。 -
如果location是一个标头值,则将location设置为使用response的URL解析location的结果。
如果response是通过
Response
构造函数构造的,则response的URL将为null,这意味着只有它是一个带片段的绝对 URL 字符串时,location才会成功解析。 -
如果location是一个URL,其片段为null,则将location的片段设置为requestFragment。
这确保了合成响应(实际上是所有响应)遵循 HTTP 定义的重定向处理模型。[HTTP]
-
返回location。
2.2.7. 杂项
潜在目的地是
“fetch
”或目的地,且不是空字符串。
要转换potentialDestination的潜在目的地,运行以下步骤:
-
如果potentialDestination为“
fetch
”,则返回空字符串。 -
断言:potentialDestination是目的地。
-
返回potentialDestination。
2.3. 认证条目
认证条目和代理认证条目是用户名、密码和领域的元组,用于HTTP认证和HTTP代理认证,并与一个或多个请求关联。
用户代理应允许这些条目与HTTP cookie和类似的跟踪功能一起清除。
更多详细信息由HTTP定义。[HTTP] [HTTP-CACHING]
2.4. Fetch 组
每个环境设置对象都有一个关联的Fetch 组。
一个Fetch 组包含一个有序的Fetch 记录列表。
一个Fetch 记录有一个关联的控制器(一个Fetch 控制器或null)。
当一个Fetch 组终止时,对于每个关联的Fetch 记录,如果其Fetch 记录的控制器非null,且其请求的完成标志未设置或keepalive为false,则终止该Fetch 记录的控制器。
2.5. 解析域名
要解析一个来源,给定一个网络分区密钥key和一个来源origin:
-
如果origin的host的公共后缀是"
localhost
"或"localhost.
",则返回«::1
,127.0.0.1
»。 -
执行一个实现定义的操作,将origin转换为一个或多个IP地址的集合。
还可以实现定义的其他操作,以获取连接信息,而不仅仅是IP地址。例如,如果origin的scheme是一个HTTP(S) scheme,实现可能会执行DNS查询以获取HTTPS RRs。[SVCB]
-
返回失败。
解析来源的结果可以被缓存。如果它们被缓存,则应使用key作为缓存密钥的一部分。
2.6. 连接
用户代理有一个关联的连接池。一个连接池是一个有序集合,包含零个或多个连接。每个连接通过一个关联的密钥(一个网络分区密钥)、origin(一个来源)、以及凭据(一个布尔值)来标识。
连接时间信息是一个用于维护获取连接过程中的时间信息的结构体。它包含以下项目:
- 域名查找开始时间(默认为0)
- 域名查找结束时间(默认为0)
- 连接开始时间(默认为0)
- 连接结束时间(默认为0)
- 安全连接开始时间(默认为0)
- 一个
DOMHighResTimeStamp
。 - ALPN 协商协议(默认为空的字节序列)
- 一个字节序列。
要限制和粗化连接时间信息,给定一个连接时间信息timingInfo、一个DOMHighResTimeStamp
defaultStartTime和一个布尔值crossOriginIsolatedCapability,运行以下步骤:
-
如果timingInfo的连接开始时间小于defaultStartTime,则返回一个新的连接时间信息,其中域名查找开始时间为defaultStartTime,域名查找结束时间为defaultStartTime,连接开始时间为defaultStartTime,连接结束时间为defaultStartTime,安全连接开始时间为defaultStartTime,以及ALPN 协商协议为timingInfo的ALPN 协商协议。
-
返回一个新的连接时序信息,其中域名查询开始时间是给定timingInfo的域名查询开始时间和 crossOriginIsolatedCapability的粗化时间的结果,域名查询结束时间是给定timingInfo的域名查询结束时间和 crossOriginIsolatedCapability的粗化时间的结果,连接开始时间是给定timingInfo的连接开始时间和 crossOriginIsolatedCapability的粗化时间的结果,连接结束时间是给定timingInfo的连接结束时间和 crossOriginIsolatedCapability的粗化时间的结果,安全连接开始时间 是给定timingInfo的连接结束时间和 crossOriginIsolatedCapability的粗化时间的结果,ALPN 协议协商是 timingInfo的ALPN 协议协商。
新连接设置为"no
"、"yes
"或"yes-and-dedicated
"。
要获取一个连接,给定一个网络分区密钥key、URLurl、布尔值credentials、一个可选的新连接设置new(默认值为"no
"),以及一个可选的布尔值requireUnreliable(默认值为false),运行以下步骤:
-
如果new为"
no
",则: -
令proxies为以实现定义的方式找到的用于url的代理的结果。如果没有代理,则令proxies为«"
DIRECT
"»。这是非标准技术(如Web Proxy Auto-Discovery Protocol (WPAD)和proxy auto-config (PAC))发挥作用的地方。"
DIRECT
"值意味着对于这个特定的url不使用代理。 -
令timingInfo为新的连接时间信息。
-
对于每个proxies中的proxy:
-
如果proxy为"
DIRECT
",则将hosts设置为运行解析一个origin给定key和url的来源的结果。 -
如果hosts为失败,则继续。
-
令connection为运行以下步骤的结果:运行创建一个连接给定key、url的来源、credentials、proxy、从hosts中以实现定义的方式获取的host、timingInfo、和requireUnreliable,以实现定义的次数彼此并行运行,并等待至少1个返回一个值。在实现定义的方式中,从返回的值中选择一个值并返回它。任何其他返回的为连接的值可能会被关闭。
本质上,这允许实现从解析一个origin的返回值中选择一个或多个IP地址(假设proxy为"
DIRECT
")并让它们彼此竞争,优先选择IPv6地址,在超时的情况下重试等。 -
如果connection失败,则继续。
-
返回connection。
-
返回失败。
这故意有点模糊,因为连接管理有很多细微差别,最好由实现者自行决定。描述这一点有助于解释<link rel=preconnect>
功能,并明确规定连接
以凭证为关键。这后一部分澄清了,例如,TLS会话标识符不会在凭证为假的连接与凭证为真的连接之间复用。
要创建一个连接,给定一个网络分区密钥key、来源origin、布尔值credentials、字符串proxy、hosthost、连接时间信息timingInfo和布尔值requireUnreliable,运行以下步骤:
-
令connection为新的连接,其中key为密钥,origin为origin,credentials为凭据,timingInfo为时间信息。记录连接时间信息,给定connection,并使用connection建立一个到host的HTTP连接,考虑proxy和origin,具有以下警告:[HTTP][HTTP1][TLS]
-
如果requireUnreliable为true,则建立一个支持不可靠传输的连接,例如一个HTTP/3连接。[HTTP3]
-
在建立一个支持不可靠传输的连接时,启用WebTransport所需的选项。对于HTTP/3,这意味着在初始
SETTINGS
帧中包括SETTINGS_ENABLE_WEBTRANSPORT
,值为1
,以及H3_DATAGRAM
,值为1
。[WEBTRANSPORT-HTTP3][HTTP3-DATAGRAM] -
如果credentials为false,则不要发送TLS客户端证书。
-
如果建立连接不成功(例如,UDP、TCP或TLS错误),则返回失败。
-
-
将timingInfo的ALPN 协商协议设置为connection的ALPN协议ID,具有以下警告:[RFC7301]
-
当配置了代理时,如果建立了隧道连接,则这必须是隧道协议的ALPN协议ID,否则必须是到代理的第一跳的ALPN协议ID。
-
如果用户代理使用了实验性、未注册的协议,则用户代理必须使用使用的ALPN协议ID(如果有)。如果没有使用ALPN进行协议协商,则用户代理可以使用另一个描述性字符串。
timingInfo的ALPN 协商协议旨在标识使用的网络协议,无论它实际上是如何协商的;即使ALPN未用于协商网络协议,这也是表示使用的协议的ALPN协议ID。
IANA维护ALPN协议ID列表。
-
-
返回connection。
要记录连接时间信息,给定一个连接connection,令timingInfo为connection的时间信息,并遵守以下要求:
-
timingInfo的连接结束时间应为在建立与服务器或代理的连接后立即的不安全共享当前时间,如下所示:
-
返回的时间必须包括建立传输连接的时间间隔,以及其他时间间隔,例如SOCKS身份验证时间。它还必须包括完成足够的TLS握手以请求资源所需的时间间隔。
-
如果用户代理在此连接中使用了TLS False Start,则此时间间隔不应包括接收服务器Finished消息所需的时间。[RFC7918]
-
如果用户代理在未等待完整握手完成的情况下发送了带有早期数据的请求,则此时间间隔不应包括接收服务器ServerHello消息所需的时间。[RFC8470]
-
如果用户代理等待完整握手完成后发送请求,则此时间间隔包括完整的TLS握手,即使其他请求是使用早期数据在connection上发送的。
假设用户代理通过TLS 1.3建立HTTP/2连接以发送
GET
请求和POST
请求。它在时间t1发送ClientHello,然后使用早期数据发送GET
请求。POST
请求不安全([HTTP],第9.2.1节),所以用户代理在时间t2等待完成握手后才发送它。虽然两个请求都使用了相同的连接,但GET
请求报告的连接结束时间是t1,而POST
请求报告的是t2。 -
-
如果使用了安全传输,则timingInfo的安全连接开始时间应为在开始握手过程以安全connection之前调用不安全共享当前时间的结果。[TLS]
-
如果connection是HTTP/3连接,则timingInfo的连接开始时间和timingInfo的安全连接开始时间必须相等。(在HTTP/3中,安全传输握手过程是初始连接设置的一部分。)[HTTP3]
限制和粗化连接时间信息算法确保了重用连接的细节不会暴露,并且时间值被粗化。
2.7. 网络分区密钥
要确定网络分区密钥,给定一个环境environment:
要确定网络分区密钥,给定一个请求request:
2.8. HTTP缓存分区
要确定HTTP缓存分区,给定一个请求 request:
-
令key为给定request确定网络分区密钥的结果。
-
如果key为null,则返回null。
-
返回与key关联的唯一HTTP缓存。[HTTP-CACHING]
2.9. 端口封锁
新协议可以通过使用ALPN在TLS中协商协议,避免封锁端口的需求。在这种情况下,该协议无法通过HTTP请求被伪造。[RFC7301]
要确定是否由于使用了不良端口而阻止获取一个请求request:
-
令url为request的当前URL。
-
如果url的scheme是HTTP(S) scheme,并且url的端口是不良端口,则返回阻止。
-
返回允许。
端口是不良端口,如果它在以下表格的第一列中列出。
端口 | 典型服务 |
---|---|
1 | tcpmux |
7 | echo |
9 | discard |
11 | systat |
13 | daytime |
15 | netstat |
17 | qotd |
19 | chargen |
20 | ftp-data |
21 | ftp |
22 | ssh |
23 | telnet |
25 | smtp |
37 | time |
42 | name |
43 | nicname |
53 | domain |
69 | tftp |
77 | — |
79 | finger |
87 | — |
95 | supdup |
101 | hostname |
102 | iso-tsap |
103 | gppitnp |
104 | acr-nema |
109 | pop2 |
110 | pop3 |
111 | sunrpc |
113 | auth |
115 | sftp |
117 | uucp-path |
119 | nntp |
123 | ntp |
135 | epmap |
137 | netbios-ns |
139 | netbios-ssn |
143 | imap |
161 | snmp |
179 | bgp |
389 | ldap |
427 | svrloc |
465 | submissions |
512 | exec |
513 | login |
514 | shell |
515 | printer |
526 | tempo |
530 | courier |
531 | chat |
532 | netnews |
540 | uucp |
548 | afp |
554 | rtsp |
556 | remotefs |
563 | nntps |
587 | submission |
601 | syslog-conn |
636 | ldaps |
989 | ftps-data |
990 | ftps |
993 | imaps |
995 | pop3s |
1719 | h323gatestat |
1720 | h323hostcall |
1723 | pptp |
2049 | nfs |
3659 | apple-sasl |
4045 | npp |
4190 | sieve |
5060 | sip |
5061 | sips |
6000 | x11 |
6566 | sane-port |
6665 | ircu |
6666 | ircu |
6667 | ircu |
6668 | ircu |
6669 | ircu |
6679 | osaut |
6697 | ircs-u |
10080 | amanda |
3. HTTP扩展
3.1. `Origin
` 标头
请求的`Origin
`
标头指示fetch
的来源。
`Origin
` 标头是一个不显示路径的
`Referer
` [sic] 标头版本。它用于所有HTTP
fetches,其中request的
response tainting为`cors
`,以及
request的method既不是
`GET
`也不是`HEAD
`。由于兼容性约束,它不包含在所有fetches`中。
其可能的值是给定request时字节序列化请求来源的所有返回值。
这取代了Web Origin 概念中的定义。[ORIGIN]
为了附加请求的`Origin
`标头,
给定request,
request,请运行以下步骤:
-
将serializedOrigin设为使用request 字节序列化请求来源的结果。
-
如果request的response tainting为`
cors
`或 request的模式为`websocket
`,则将(``Origin
``, serializedOrigin)附加到request的标头列表中。 -
否则,如果request的method既不是`
GET
`也不是`HEAD
`,则:-
如果request的模式不是`
cors
`, 则根据request的引用者策略进行切换:- "
no-referrer
" -
将serializedOrigin设置为`
null
`。 - "
no-referrer-when-downgrade
" - "
strict-origin
" - "
strict-origin-when-cross-origin
" -
如果request的来源是元组来源,其scheme为 `"
https
"`,且request的当前URL的scheme不是 `"https
"`,则将serializedOrigin设置为`null
`。 - "
same-origin
" -
如果request的来源与request的当前URL的来源不同源,则将serializedOrigin设置为 `"
null
"`。 - 否则
- 什么也不做。
- "
-
所有fetches
中,request的
引用者策略都会被考虑在内,而fetcher没有明确选择与服务器共享其来源,
例如通过使用CORS协议。
3.2. CORS协议
为了允许跨来源共享响应,并允许比HTML的form
元素可能实现的更灵活的fetches,
CORS协议应运而生。它
构建于HTTP之上,并允许响应声明它们可以与其他来源共享。
这需要是一种选择加入的机制,以防止泄露防火墙后(内网)的响应数据。此外,对于包含凭据的请求, 也需要选择加入,以防止泄露潜在敏感数据。
本节解释了与服务器开发者相关的CORS协议。用户代理的要求是fetch算法的一部分, 除了新的HTTP标头语法。
3.2.1. 概述
CORS协议由一组标头组成, 这些标头指示响应是否可以跨来源共享。
对于比HTML的form
元素更复杂的请求,
会执行CORS预检请求,
以确保request的当前URL支持CORS协议。
3.2.2. HTTP 请求
CORS 请求是包含
`Origin
` 头的HTTP请求。它不能被可靠地识别为参与
CORS协议,因为 `Origin
` 头也会包含在
所有请求中,这些请求的方法
既不是 `GET
` 也不是 `HEAD
`。
CORS预检请求 是一种
CORS
请求,
用于检查是否理解CORS协议。它使用 `OPTIONS
` 作为
方法,并包含以下头:
3.2.3. HTTP 响应
- `
Access-Control-Allow-Origin
` - `
Access-Control-Allow-Credentials
` -
指示当请求的请求的 凭据模式为 "
include
" 时,响应是否可以共享。对于 CORS 预检请求,请求的 请求的 凭据模式总是 "
same-origin
",即排除凭据,但对于任何后续的 CORS 请求, 它可能不是。因此,也需要在对CORS预检请求的HTTP响应中指明支持。
- `
Access-Control-Allow-Methods
` -
指示响应的响应的 URL 为 CORS 协议 支持哪些方法。
`
Allow
` 头 与CORS协议无关。 - `
Access-Control-Allow-Headers
` - `
Access-Control-Max-Age
` -
指示由 `
Access-Control-Allow-Methods
` 和 `Access-Control-Allow-Headers
` 头提供的信息 可以缓存的秒数(默认5秒)。
对CORS 请求但不是 CORS 预检请求的HTTP响应还可以包含以下 头:
- `
Access-Control-Expose-Headers
` -
指示可以作为响应的一部分公开的头,通过列出它们的名称。
对CORS 请求的成功HTTP响应, 即服务器开发者打算共享的响应,可以使用任何 状态, 只要它包含上述头,且头的 值 与请求匹配。
对CORS 预检请求的成功HTTP响应类似,除非它限制为 ok 状态,例如200或204。
任何其他类型的HTTP响应都不是成功的,最终将无法共享或失败 CORS 预检请求。请注意,服务器执行的任何工作仍可能通过侧信道泄露, 例如时间。如果服务器开发者希望明确表示这一点,可以使用403 状态, 并省略相关头。
如果需要,也可以共享“失败”,但这将使其成为成功的HTTP响应。 这就是为什么对于不是 CORS 预检请求的CORS请求的成功HTTP响应, 状态可以是任何值,包括403。
最终,服务器开发者在如何处理HTTP响应方面有很大的自由,这些策略可以在对 CORS 预检请求和随后对 CORS 请求的响应之间有所不同:
-
他们可以提供静态响应。这在处理缓存中间件时很有帮助。静态响应既可以成功,也可以不成功,具体取决于 CORS 请求。 这是可以的。
-
他们可以提供动态响应,针对CORS 请求进行调整。这在响应体需要针对特定来源定制或响应需要包含凭据且在一组来源中成功时很有帮助。
3.2.4. HTTP 新头语法
Access-Control-Request-Method = method
Access-Control-Request-Headers = 1 #field-name
wildcard = "*"
Access-Control-Allow-Origin = origin-or-null / wildcard
Access-Control-Allow-Credentials = %s"true" ; case-sensitive
Access-Control-Expose-Headers = #field-name
Access-Control-Max-Age = delta-seconds
Access-Control-Allow-Methods = #method
Access-Control-Allow-Headers = #field-name
对于 `Access-Control-Expose-Headers
`,
`Access-Control-Allow-Methods
`,和 `Access-Control-Allow-Headers
`
响应头,对于不包含
凭据的请求,`*
`作为值
算作通配符。对于这样的请求,
没有办法单独匹配一个头名称
或 `*
` 的方法。
3.2.5. CORS 协议与凭据
当请求
的凭据模式为 "include
" 时,
它对CORS
协议
的影响不仅限于在fetch中包含
凭据。
在过去,XMLHttpRequest
可以用于将请求
的凭据模式设置为 "include
":
var client = new XMLHttpRequest()
client. open( "GET" , "./" )
client. withCredentials = true
/* … */
如今,fetch("./", { credentials:"include" }).then(/* … */)
就足够了。
请求的请求 的凭据模式不一定在服务器上可观察到; 只有当请求存在凭据时, 才能通过包含凭据来观察到。请注意,即使如此, CORS 预检请求 从不包含凭据。
因此,服务器开发者需要决定是否可以共享带有凭据"污染"的响应。还需要决定是否允许需要 CORS 预检请求 的请求包含凭据。 一般来说,共享带有凭据的响应和允许带有凭据的请求是相当不安全的,必须极其小心地避免困惑的代理问题。
要共享带有凭据的响应,Access-Control-Allow-Origin
和
Access-Control-Allow-Credentials
头是重要的。
以下表格旨在说明对于请求 https://rabbit.invalid/
的各种合法和非法组合:
请求的凭据模式 | Access-Control-Allow-Origin |
Access-Control-Allow-Credentials
|
共享? | 备注 |
---|---|---|---|---|
"omit " |
* |
省略 | ✅ | — |
"omit " |
* |
true |
✅ | 如果凭据模式不是 "include ",则
Access-Control-Allow-Credentials
被忽略。
|
"omit " |
https://rabbit.invalid/ |
省略 | ❌ | 序列化来源没有尾随斜杠。 |
"omit " |
https://rabbit.invalid |
省略 | ✅ | — |
"include " |
* |
true |
❌ | 如果凭据模式是 "include ",
Access-Control-Allow-Origin 不能是
* 。
|
"include " |
https://rabbit.invalid |
true |
✅ | — |
"include " |
https://rabbit.invalid |
True |
❌ | true 是字节大小写敏感的。 |
类似地,Access-Control-Expose-Headers
,
Access-Control-Allow-Methods
,和
Access-Control-Allow-Headers
响应头只有在请求的
凭据模式不是 "include
" 时才能使用 `*
` 作为值。
3.2.6. 示例
一个位于https://foo.invalid/
的脚本想要从https://bar.invalid/
获取一些数据。(凭据或响应头访问并不重要。)
var url = "https://bar.invalid/api?key=730d67a37d7f3d802e96396d00280768773813fbe726d116944d814422fc1a45&data=about:unicorn" ;
fetch( url). then( success, failure)
这将使用CORS 协议,尽管这对来自foo.invalid
的开发者来说是完全透明的。作为CORS
协议的一部分,
用户代理将在请求中包含 `Origin
` 头:
Origin: https://foo.invalid
在从bar.invalid
接收到响应后,用户代理将验证
`Access-Control-Allow-Origin
`响应头。
如果它的值是 `https://foo.invalid
` 或 `*
`,用户代理将调用success
回调。
如果它有任何其他值,或者缺失,用户代理将调用failure
回调。
foo.invalid
的开发者回来了,现在希望在从bar.invalid
获取一些数据的同时访问响应头。
fetch( url). then( response => {
var hsts = response. headers. get( "strict-transport-security" ),
csp = response. headers. get( "content-security-policy" )
log( hsts, csp)
})
bar.invalid
提供了一个正确的
`Access-Control-Allow-Origin
`响应头,
如前面的示例所示。hsts
和csp
的值将取决于
`Access-Control-Expose-Headers
`响应头。
例如,如果响应包括以下头:
Content-Security-Policy: default-src 'self'
Strict-Transport-Security: max-age=31536000; includeSubdomains; preload
Access-Control-Expose-Headers: Content-Security-Policy
那么hsts
将为 null,csp
将为"default-src 'self'
",即使响应中确实包含了两个头。
这是因为bar.invalid
需要通过在 `Access-Control-Expose-Headers
`响应头中列出它们的名称来明确共享每个头。
或者,如果bar.invalid
想要共享所有响应头,对于不包含凭据的请求,可以使用
`*
` 作为
`Access-Control-Expose-Headers
`响应头的值。
如果请求包含凭据,则响应头名称必须明确列出,且不能使用 `*
`。
foo.invalid
的开发者再次回来了,这次是在包含凭据的情况下从bar.invalid
获取一些数据。
这次CORS 协议对开发者不再透明,
因为凭据需要显式选择加入:
fetch( url, { credentials: "include" }). then( success, failure)
这也使得bar.invalid
中包含的任何 `Set-Cookie
`响应头完全有效(否则将被忽略)。
用户代理将确保在请求中包含任何相关的凭据。它还将对响应施加更严格的要求。bar.invalid
不仅需要在
`Access-Control-Allow-Origin
`头中列出
`https://foo.invalid
` 作为值(当涉及到凭据时,不允许使用
`*
`),还必须包含
`Access-Control-Allow-Credentials
`头:
Access-Control-Allow-Origin: https://foo.invalid
Access-Control-Allow-Credentials: true
如果响应未包含这两个头,或它们的值不正确,将调用failure
回调。然而,任何`Set-Cookie
`响应头仍将被尊重。
3.2.7. CORS 协议例外情况
规范允许针对非安全列表的 `Content-Type
` 头值的 CORS 安全列表进行有限的例外。这些例外适用于可以由 Web 内容触发但其头和主体只能由 Web
内容进行最小控制的请求。因此,服务器应预期跨域 Web 内容被允许触发具有以下非安全列表 `Content-Type
` 头值的非预检请求:
- `
application/csp-report
` [CSP] - `
application/expect-ct-report+json
` [RFC9163] - `
application/xss-auditor-report
` - `
application/ocsp-request
` [RFC6960]
规范应避免引入新的例外,且应仅在充分考虑安全后果的情况下才这样做。可以通过提交问题来提出新的例外。
3.3. `Content-Length
` 头
`Content-Length
` 头主要在 HTTP 中定义。由于 HTTP 中定义的处理模型与 Web 内容不兼容,其处理模型在此定义。[HTTP]
要从 头列表 headers 中提取长度,请按以下步骤操作:
3.4. `Content-Type
` 头
`Content-Type
` 头主要在 HTTP 中定义。由于 HTTP 中定义的处理模型与 Web 内容不兼容,其处理模型在此定义。[HTTP]
要从 头列表 headers 中提取 MIME 类型,请运行以下步骤。它们将返回失败或MIME 类型。
-
让 charset 为 null。
-
让 essence 为 null。
-
让 mimeType 为 null。
-
让 values 是 获取、解码并分割自 headers 的 `
Content-Type
` 的结果。 -
如果 values 为 null,则返回失败。
-
对于每个 values 中的 value:
-
如果 mimeType 为 null,则返回失败。
-
返回 mimeType。
当提取 MIME 类型返回失败或MIME 类型的本质对于给定格式不正确时,将其视为致命错误。现有的 Web 平台功能并未始终遵循这一模式,这多年来已成为这些功能中安全漏洞的主要来源。相比之下,MIME 类型的参数通常可以安全忽略。
这是 提取 MIME 类型 的实际运作方式:
头(如网络上) | 输出(序列化) |
---|---|
|
text/html
|
|
text/html;x=y;charset=gbk
|
|
|
|
text/html;x=y
|
|
text/html
|
|
|
|
在失败或给定MIME 类型 mimeType 和 编码 fallbackEncoding 时,传统提取编码,请运行以下步骤:
-
如果 mimeType 为失败,则返回 fallbackEncoding。
-
如果 mimeType["
charset
"]不存在,则返回 fallbackEncoding。 -
让 tentativeEncoding 是 获取编码自 mimeType["
charset
"] 的结果。 -
如果 tentativeEncoding 为失败,则返回 fallbackEncoding。
-
返回 tentativeEncoding。
此算法允许 mimeType 失败,因此它可以更容易地与提取 MIME 类型结合使用。
它被标记为传统,因为现代格式将专门使用UTF-8。
3.5.
`X-Content-Type-Options
` 标头
可以使用
`X-Content-Type-Options
`
响应标头,以要求检查响应的
`Content-Type
` 标头是否与
请求的目标一致。
为了确定 nosniff,给定一个标头列表list,请执行以下步骤:
-
令 values 为 获取、解码和分割`
X-Content-Type-Options
` 自 list的结果。 -
如果 values 为 null,则返回 false。
-
如果 values[0] 是 ASCII 不区分大小写的匹配 "
nosniff
",则返回 true。 -
返回 false。
Web 开发者和一致性检查者必须使用以下 值的ABNF用于 `X-Content-Type-Options
`:
X-Content-Type-Options = "nosniff" ; case-insensitive
3.5.1. 是否应因 nosniff 而阻止 response 到 request?
执行以下步骤:
-
如果确定 nosniff并且response的标头列表为 false,则返回allowed。
-
将mimeType设置为从response的提取 MIME 类型的结果。
-
将destination设置为request的目标。
-
如果destination是类似脚本,并且mimeType为失败或不是JavaScript MIME 类型,则返回blocked。
-
如果destination是"
style
"并且mimeType失败或其本质不是"text/css
",则返回blocked。 -
返回allowed。
只有请求目标是类似脚本或"style
"的才被考虑,因为任何漏洞都与它们有关。此外,考虑到"image
"与已部署的内容不兼容。
3.6.
`Cross-Origin-Resource-Policy
` 标头
可以使用
`Cross-Origin-Resource-Policy
`
响应标头,以要求检查请求的当前 URL的源是否与
请求的源匹配
当请求的模式为
"no-cors
"。
Cross-Origin-Resource-Policy = %s"same-origin" / %s"same-site" / %s"cross-origin" ; case-sensitive
要执行跨源资源策略检查,给定源 origin,一个环境设置对象settingsObject,一个字符串destination,一个响应 response,以及一个可选的布尔值forNavigation,请执行以下步骤:
-
如果未给定forNavigation,将其设置为 false。
-
如果origin,"
unsafe-none
",response和 forNavigation一起执行跨源资源策略内部检查返回blocked,则返回blocked。此步骤是必要的,因为我们不希望报告与下面的 Cross-Origin Embedder Policy 无关的违规行为。
-
如果origin,embedderPolicy的仅报告值,response和forNavigation一起执行的跨源资源策略内部检查返回blocked,则排队一个跨源嵌入者策略 CORP 违规报告与response,settingsObject,destination和 true 一起执行。
-
如果origin,embedderPolicy的值,response和forNavigation一起执行的跨源资源策略内部检查返回allowed,则返回allowed。
-
排队一个跨源嵌入者策略 CORP 违规报告与response,settingsObject,destination和 false 一起执行。
-
返回blocked。
只有 HTML 的导航算法在forNavigation设置为 true 时才会使用此检查,并且总是用于嵌套导航。否则,response要么是内部响应的不透明过滤响应或响应,将成为内部响应的不透明过滤响应。[HTML]
要执行跨源资源策略内部检查,给定源 origin,一个嵌入者策略值embedderPolicyValue,一个响应response,以及一个布尔值forNavigation,请执行以下步骤:
-
如果forNavigation为 true,并且embedderPolicyValue为"
unsafe-none
",则返回allowed。 -
将policy设置为从response的获取`
Cross-Origin-Resource-Policy
`。这意味着`
Cross-Origin-Resource-Policy: same-site, same-origin
`在下方作为allowed出现,因为只要embedderPolicyValue是"unsafe-none
",它将永远不会匹配任何内容。两个或多个`Cross-Origin-Resource-Policy
`标头将具有相同效果。 -
如果policy既不是`
same-origin
`,`same-site
`,也不是`cross-origin
`,则将policy设置为 null。 -
如果policy为 null,则根据embedderPolicyValue切换:
- "
unsafe-none
" -
什么都不做。
- "
credentialless
" -
在以下情况下,将policy设置为`
same-origin
`:- response的请求包含凭据为 true,或者
- forNavigation为 true。
- "
require-corp
" -
将policy设置为`
same-origin
`。
- "
-
根据policy切换:
要排队一个跨源嵌入者策略 CORP 违规报告,给定一个响应response,一个环境设置对象settingsObject,一个字符串destination,以及一个布尔值reportOnly,请执行以下步骤:
-
将endpoint设置为settingsObject的策略容器的嵌入者策略的仅报告的报告终端,如果reportOnly为 true,并且settingsObject的策略容器的嵌入者策略的报告终端。
-
将serializedURL设置为通过序列化响应 URL 以进行报告与response执行的结果。
-
将disposition设置为"
reporting
",如果reportOnly为 true;否则为"enforce
"。 -
将body设置为一个包含以下属性的新对象:
键 值 " type
"" corp
"" blockedURL
"serializedURL " destination
"destination " disposition
"disposition -
为settingsObject的全局对象生成并排队一个报告,给定"
coep
" 报告类型,endpoint和body。[REPORTING]
3.7. `Sec-Purpose
` 标头
`Sec-Purpose
` HTTP
请求标头指定该请求除了为用户立即使用资源之外,还具有一个或多个其他目的。
`Sec-Purpose
` 标头字段是一个结构化标头,其值必须是一个token。
唯一定义的token是prefetch
。它表明请求的目的是获取预期不久将需要的资源。
服务器可以使用此标头调整预取的缓存到期时间,禁止预取,或在统计页面访问量时区别对待。
4. 获取
下面的算法定义了获取。大致上,它接受一个请求和一个或多个在操作期间不同时间点运行的算法。下面列出的最后两个算法会将响应传递给它们。前两个算法可用于捕获上传。
为了获取,给定一个请求 request,一个可选的算法processRequestBodyChunkLength,一个 可选的算法processRequestEndOfBody, 一个可选的算法processEarlyHintsResponse,一个可选的 算法processResponse, 一个可选的算法processResponseEndOfBody,一个可选的算法processResponseConsumeBody, 和一个可选的布尔值useParallelQueue(默认false),运行 以下步骤。如果给定,processRequestBodyChunkLength必须是一个接受表示传输字节数的整数的算法。如果给定,processRequestEndOfBody必须 是一个不接受参数的算法。如果给定,processEarlyHintsResponse必须是一个接受响应的算法。 如果给定,processResponse必须是一个接受响应的算法。如果 给定,processResponseEndOfBody必须是一个接受响应的算法。如果 给定,processResponseConsumeBody必须是一个接受响应和 null、失败或字节序列的算法。
用户代理可能会被要求挂起正在进行的获取。 用户代理可以接受或忽略挂起请求。挂起的获取可以恢复。如果正在进行的获取正在更新 请求的HTTP缓存中的响应,用户代理应 忽略挂起请求。
如果请求的缓存模式为“no-store”或响应中出现`Cache-Control: no-store
`标头,
用户代理不会更新HTTP缓存中的条目。[HTTP-CACHING]
-
令taskDestination为null。
-
令crossOriginIsolatedCapability为false。
-
如果request的客户端非null,则:
-
如果useParallelQueue为true,则将taskDestination设置为启动新并行队列的结果。
-
令timingInfo为新的获取时序信息,其开始时间和重定向后开始时间是给定 crossOriginIsolatedCapability的粗化共享当前时间,渲染阻塞设置为request的渲染阻塞。
-
令fetchParams为新的获取参数,其请求为request,时序信息为timingInfo,处理请求体块长度为 processRequestBodyChunkLength,处理请求体结束为 processRequestEndOfBody,处理早期提示响应为 processEarlyHintsResponse,处理响应为processResponse,处理响应体消耗为 processResponseConsumeBody,处理响应体结束为 processResponseEndOfBody,任务目标为taskDestination,跨源隔离能力为 crossOriginIsolatedCapability。
-
如果request的窗口为“
client
”,则将 request的窗口设置为request的客户端, 如果request的客户端的全局对象是Window
对象; 否则为“no-window
”。 -
如果以下所有条件为真:
-
request的URL的scheme是HTTP(S) scheme
-
request的模式为“
same-origin
”、“cors
”或“no-cors
” -
request的方法为“
GET
” -
request的unsafe-request 标志未设置或request的头列表为空
则:
-
令onPreloadedResponseAvailable为一个给定响应response时运行以下步骤的算法:将fetchParams的预加载响应候选设置为 response。
-
令foundPreloadedResource为调用消耗预加载资源的结果,给定request的窗口、request的URL、request的目标、request的模式、request的凭证模式、request的完整性元数据, 和onPreloadedResponseAvailable。
-
如果foundPreloadedResource为true并且fetchParams的预加载响应候选为null,则将fetchParams的预加载响应候选设置为"
pending
"。
-
-
如果request的策略容器为“
client
”,则: -
-
令value为“
*/*
”。 -
如果request的启动器为“
prefetch
”,则将value设置为文档“Accept
”头的值。 -
否则,用户代理应将value设置为第一个匹配的语句(如果有),根据request的目标:
- “
document
” - “
frame
” - “
iframe
” - 文档“
Accept
”头的值 - “
image
” - “
image/png,image/svg+xml,image/*;q=0.8,*/*;q=0.5
” - “
json
” - “
application/json,*/*;q=0.5
” - “
style
” - “
text/css,*/*;q=0.1
”
- “
-
-
如果request的头列表不包含“
Accept-Language
”,则用户代理应附加(“Accept-Language
”,适当的头值)到request的头列表。 -
如果request的内部优先级为null,则使用request的优先级、启动器、目标和渲染阻塞以实现定义的方式将request的内部优先级设置为实现定义的对象。
实现定义的对象可以包含HTTP/2的流权重和 依赖性,在适用的传输层(包括HTTP/3)中用于优先级的HTTP的可扩展优先级方案中的优先级,以及用于优先级调度和处理HTTP/1获取的等效信息。[RFC9218]
-
如果request是子资源请求,则:
-
给定fetchParams,运行主获取。
-
返回fetchParams的控制器。
4.1. 主获取
要执行主获取,给定获取参数fetchParams和一个可选的布尔值recursive(默认为false),执行以下步骤:
-
令request为fetchParams的请求。
-
令response为null。
-
如果应该由于不良端口阻止request,应该将request阻止为混合内容,或应该被内容安全策略阻止的request返回已阻止,则将response设置为网络错误。
-
如果request的引用不是“
no-referrer
”,则将request的引用设置为调用确定request的引用的结果。[REFERRER]如在引用策略中所述,用户代理可以为最终用户提供覆盖request的引用为“
no-referrer
”或暴露较少敏感信息的选项。 -
如果所有以下条件为真,则将request的当前URL的方案设置为“
https
”:- request的当前URL的方案是“
http
” - request的当前URL的host是一个域
- 匹配request的当前URL的host根据已知的HSTS主机域名匹配结果产生超级域匹配并包含
includeSubDomains
指令或一致匹配(有无includeSubDomains
指令均可)[HSTS];或为请求的DNS解析找到匹配的HTTPS RR,参见第9.5节和[SVCB]。[HSTS] [SVCB]
由于所有DNS操作通常都是实现定义的,如何确定DNS解析是否包含HTTPS RR也是实现定义的。由于传统上DNS操作不会在尝试获取连接之前执行,用户代理可能需要提前执行DNS操作,查询本地DNS缓存,或在获取算法的后期等待并可能在发现需要更改request的当前URL的方案时撤销逻辑。
- request的当前URL的方案是“
-
如果recursive为false,则request的以下步骤并行执行。
-
如果response为null,则将response设置为运行以下第一个匹配语句对应步骤的结果:
- fetchParams的预加载响应候选项不为null
- request的当前URL的来源与request的同源,且request的响应污染为“
basic
” - request的当前URL的方案为“
data
” - request的模式为“
navigate
”或“websocket
” -
HTML分配从URL创建的任何文档和工作者,其方案为“
data
”一个唯一的不透明来源。仅可以从URL创建服务工作者,其方案为HTTP(S)方案。 - request的模式为“
same-origin
” -
返回网络错误。
- request的模式为“
no-cors
” - request的当前URL的方案不是HTTP(S)方案
-
返回网络错误。
- request的use-CORS-preflight标志已设置
- request的unsafe-request标志已设置,且request的方法不是CORS-safelisted方法或CORS-unsafe请求标头名称中request的标头列表不为空
- 否则
-
如果recursive为true,则返回response。
-
如果response不是网络错误且response不是过滤响应,则:
-
如果request的响应污染为“
cors
”,则:-
将headerNames设置为从提取的结果标头列表值给定 `
Access-Control-Expose-Headers
`和response的标头列表。 -
如果request的凭据模式不是“
include
”且headerNames包含`*
`,则将response的CORS公开标头名称列表设置为response的标头名称中所有唯一的值response的标头列表。 -
否则,如果headerNames不为null或失败,则将response的CORS公开标头名称列表设置为headerNames。
-
-
-
如果response不是网络错误,且以下任何返回已阻止:
则将response和internalResponse设置为网络错误。
-
如果response的类型为“
opaque
”,internalResponse的状态为206,internalResponse的range-requested标志已设置,且request的标头列表不包含`Range
`,则将response和internalResponse设置为网络错误。传统上,即使未请求范围,API也接受范围响应。这可以防止先前范围请求的部分响应被提供给未发出范围请求的API。
进一步详情
上述步骤防止以下攻击:
使用媒体元素请求跨源HTML资源的范围。虽然这是无效媒体,但可以在服务工作者中保留响应的克隆。这可以稍后用作脚本元素获取的响应。如果部分响应是有效的JavaScript(即使整个资源不是),执行它将泄露私人数据。
-
如果response不是网络错误,且request的方法为`
HEAD
`或`CONNECT
`,或internalResponse的状态为空体状态,则将internalResponse的主体设置为null并忽略向其进行的任何入队(如果有)。这标准化了对违反HTTP的服务器的错误处理。
-
如果request的完整性元数据不为空字符串,则:
-
否则,运行获取响应交接给定fetchParams和response。
给定获取响应交接,给定获取参数fetchParams和响应response,执行以下步骤:
-
令timingInfo为fetchParams的计时信息。
-
如果response不是网络错误,且fetchParams的请求的客户端是一个安全上下文,则将timingInfo的服务器计时标头设置为获取、解码和拆分`
Server-Timing
`的结果 来自response的内部响应的标头列表。使用_response_的内部响应是安全的,因为通过`
Timing-Allow-Origin
`标头保护暴露`Server-Timing
`标头数据。用户代理也可以决定将`
Server-Timing
`标头暴露给非安全上下文的请求。 -
令processResponseEndOfBody为以下步骤:
-
令unsafeEndTime为不安全共享当前时间。
-
如果fetchParams的请求的目的地为“
document
”,则将fetchParams的控制器的完整计时信息设置为fetchParams的计时信息。 -
将fetchParams的控制器的报告计时步骤设置为以下步骤,给定全局对象global:
-
令cacheState为response的缓存状态。
-
令bodyInfo为response的主体信息。
-
如果response的计时允许通过标志未设置,则将timingInfo设置为创建一个不透明计时信息的结果,并将cacheState设置为空字符串。
这包括response为网络错误的情况。
-
将responseStatus设置为0。
-
如果fetchParams的请求的模式不是“
navigate
”或response的跨来源重定向标志为false:-
将responseStatus设置为response的状态。
-
令mimeType为从response的标头列表中提取的MIME类型的结果。
-
如果mimeType不是失败,则将bodyInfo的内容类型设置为最小化的受支持MIME类型的结果,给定mimeType。
-
-
如果fetchParams的请求的启动者类型不为null,则标记资源计时给定timingInfo,fetchParams的请求的URL,fetchParams的请求的启动者类型,global,cacheState,bodyInfo和responseStatus。
-
令processResponseEndOfBodyTask为以下步骤:
-
-
如果fetchParams的处理响应不为null,则排队一个获取任务以运行fetchParams的处理响应给定response,以fetchParams的任务目标。
-
如果internalResponse的主体为null,则运行processResponseEndOfBody。
-
否则:
-
令transformStream为一个新的
TransformStream
。 -
令identityTransformAlgorithm为一个算法,该算法给定chunk,入队chunk到transformStream。
-
设置transformStream,将transformAlgorithm设置为identityTransformAlgorithm,并将flushAlgorithm设置为processResponseEndOfBody。
-
将internalResponse的主体的流设置为internalResponse的主体的流的管道传输transformStream的结果。
此
TransformStream
是为了在流到达终点时接收通知的目的,并且是一个身份转换流。 -
-
如果fetchParams的处理响应消耗主体不为null,则:
4.2. scheme fetch
要执行scheme fetch,给定fetch 参数 fetchParams:
-
让request成为fetchParams的请求。
-
根据request的当前URL的scheme切换并运行相关步骤:
- "
about
" -
如果request的当前URL的路径 是字符串 "
blank
",则返回一个新的响应,其状态消息为`OK
`,头列表为« (`Content-Type
`, `text/html;charset=utf-8
`) »,并且body是空字节序列作为body。类似 "
about:config
" 的URL 在导航过程中处理,并在fetch的上下文中导致网络错误。 - "
blob
" -
-
让blobURLEntry成为request的当前URL的blob URL条目。
-
如果request的方法不是`
GET
`, blobURLEntry为null,或者blobURLEntry的对象不是一个Blob
对象,则返回一个网络错误。[FILEAPI]`
GET
` 方法限制除了具有互操作性外没有其他有用的目的。 -
让blob成为blobURLEntry的对象。
-
让response成为一个新的响应。
-
让fullLength成为blob的
大小
。 -
让type成为blob的
类型
。 -
否则:
-
设置response的range-requested 标志。
-
让rangeValue成为解析单个范围头值时给定rangeHeader和true的结果。
-
如果rangeValue失败,则返回一个网络错误。
-
让(rangeStart, rangeEnd)为rangeValue。
-
如果rangeStart为null:
-
将rangeStart设置为fullLength − rangeEnd。
-
将rangeEnd设置为rangeStart + rangeEnd − 1。
-
-
否则:
-
如果rangeStart大于或等于fullLength,则返回一个网络错误。
-
如果rangeEnd为null或rangeEnd大于或等于fullLength,则将rangeEnd设置为fullLength − 1。
-
-
让slicedBlob成为调用切片blob并给定blob、rangeStart、rangeEnd + 1和type的结果。
一个范围头表示一个包含的字节范围,而切片blob算法输入范围则不然。要使用切片blob算法,我们必须增加rangeEnd。
-
让slicedBodyWithType成为安全提取slicedBlob的结果。
-
让contentRange成为调用构建内容范围并给定rangeStart、rangeEnd和fullLength的结果。
-
将response的状态设置为206。
-
将response的状态消息设置为`
Partial Content
`。 -
将response的头列表设置为« (`
Content-Length
`, serializedSlicedLength), (`Content-Type
`, type),(`Content-Range
`, contentRange) »。
-
-
返回response。
-
- "
data
" - "
file
" -
目前,虽然不幸的是,
file:
URL被留作读者的练习。如果有疑问,返回一个网络错误。
- HTTP(S) scheme
-
返回运行HTTP fetch并给定fetchParams的结果。
- "
-
返回一个网络错误。
4.3. HTTP fetch
要执行HTTP fetch,给定fetch 参数 fetchParams和一个可选的布尔值makeCORSPreflight(默认值为false),执行以下步骤:
-
让request成为fetchParams的request。
-
让response和internalResponse为null。
-
如果request的service-workers 模式为"
all
",那么:-
让requestForServiceWorker成为request的克隆。
-
如果requestForServiceWorker的body为非空, 那么:
-
让transformStream成为一个新的
TransformStream
。 -
让transformAlgorithm给定chunk时,执行以下步骤:
-
如果fetchParams被取消,则中止这些步骤。
-
如果chunk不是一个
Uint8Array
对象,则终止fetchParams的controller。 -
否则,在transformStream中入队chunk。用户代理可以将chunk分割成实现定义的实用大小,并且入队它们。用户代理也可以将chunk合并为一个实现定义的实用大小,并且入队它。
-
-
设置transformStream,其中transformAlgorithm设置为transformAlgorithm。
-
将requestForServiceWorker的body的stream设置为requestForServiceWorker的body的stream 通过transformStream传递的结果。
-
-
让serviceWorkerStartTime成为给定fetchParams的粗化的共享当前时间。
-
将response设置为调用handle fetch并给定requestForServiceWorker、fetchParams的controller和fetchParams的跨源隔离能力的结果。[HTML] [SW]
-
如果response非空,那么:
-
将fetchParams的时间信息的最终的service worker开始时间设置为serviceWorkerStartTime。
- 如果request的body为非空,则取消request的body,原因未定义。
-
如果response不是过滤后的响应,则将internalResponse设置为response;否则将internalResponse设置为response的内部响应。
-
如果以下条件之一为真:
-
response的类型是"
error
" - request的重定向模式不是"
manual
",且response的类型是"opaqueredirect
" - request的重定向模式不是"
follow
",且response的URL列表有多个项目。
则返回一个网络错误。
-
-
-
-
如果response为null,那么:
-
如果makeCORSPreflight为true并且以下条件之一为真:
-
对于request的method,没有方法缓存条目匹配,并且request的method既不是CORS-安全列出的方法,也不是request的use-CORS-preflight 标志已设置。
- 在request的头列表中,在CORS-不安全请求头名称中至少有一个项没有使用request的头名称缓存条目匹配。
那么:
-
让preflightResponse成为运行CORS-preflight fetch并给定request的结果。
-
如果preflightResponse是一个网络错误,则返回preflightResponse。
此步骤检查CORS-preflight缓存,如果没有合适的条目,它会执行一个CORS-preflight fetch,如果成功,它将填充缓存。执行CORS-preflight fetch的目的是确保获取的资源熟悉CORS协议。缓存的目的是减少CORS-preflight fetch的数量。
-
-
如果request的重定向模式为"
follow
",则将request的service-workers 模式设置为"none
"。来自网络的重定向(与来自服务工作者的不同)不应暴露给服务工作者。
-
将response和internalResponse设置为运行HTTP-network-or-cache fetch并给定fetchParams的结果。
-
如果request的响应污染为"
cors
",并且CORS检查对于request和response返回失败,那么返回一个网络错误。
-
-
如果request的响应污染或response的类型为"
opaque
",并且对于request的源、request的客户端、request的目的地和internalResponse的跨源资源策略检查返回阻止,那么返回一个网络错误。跨源资源策略检查适用于来自网络和服务工作者的响应。这与CORS检查不同,因为request的客户端和服务工作者可能有不同的嵌入者策略。
-
-
如果internalResponse的状态不是303,request的body为非空,并且连接使用的是HTTP/2,则鼓励用户代理传输
RST_STREAM
帧。303被排除在外,因为某些社区赋予其特殊地位。
-
切换request的重定向模式:
- "
error
" -
-
将response设置为一个网络错误。
-
- "
manual
" -
-
如果request的模式为"
navigate
",则将fetchParams的controller的下一步手动重定向步骤设置为运行HTTP-redirect fetch并给定fetchParams和response。 -
否则,将response设置为一个opaque-redirect过滤后的响应,其内部响应为internalResponse。
-
- "
follow
" -
-
将response设置为运行HTTP-redirect fetch并给定fetchParams和response的结果。
-
- "
-
4.4. HTTP-redirect fetch
要执行HTTP-redirect fetch,给定fetch 参数 fetchParams和响应 response,请运行以下步骤:
-
将request设为fetchParams的请求。
-
如果response不是过滤的响应,则将internalResponse设为response;否则设为response的内部响应。
-
如果locationURL为 null,则返回response。
-
如果locationURL为失败,则返回一个网络错误。
-
如果locationURL的scheme不是HTTP(S) scheme,则返回一个网络错误。
-
将request的重定向计数增加1。
-
如果request的模式为"
cors
",locationURL 包含凭证,且request的源与locationURL的源不同源,则返回一个网络错误。 -
如果request的响应污染为"
cors
"且locationURL 包含凭证,则返回一个网络错误。此步骤捕捉跨源资源重定向到同源URL的情况。
-
如果internalResponse的状态不是303,request的body为非空,且request的body的source为 null,则返回一个网络错误。
-
如果以下任一条件为真:
则:
-
如果request的当前 URL的源与locationURL的源不同源,则对于属于CORS 非通配符请求头名称的每个headerName,删除自request的header 列表。
即,当初始请求之后遇到不同的源时,`
Authorization
` 头会被删除。 -
如果request的body为非空,则将request的body设为运行安全提取request的body的source的body的结果。
-
将timingInfo设为fetchParams的timing 信息。
-
如果timingInfo的重定向开始时间为0,则将timingInfo的重定向开始时间设为timingInfo的开始时间。
-
调用在重定向时设置request的referrer策略给request和internalResponse。[REFERRER]
-
将recursive设为true。
-
如果request的重定向模式为"
manual
",则:-
断言:request的模式为"
navigate
"。 -
将recursive设为false。
-
-
返回运行main fetch给定fetchParams和recursive的结果。
这必须调用main fetch以正确设置request的响应污染。
4.5. HTTP-网络或缓存获取
要执行HTTP-网络或缓存获取,给定fetch 参数 fetchParams,一个可选的布尔值isAuthenticationFetch(默认为 false),以及一个可选的布尔值isNewConnectionFetch(默认为 false),执行以下步骤:
某些实现可能支持部分内容的缓存,如 HTTP 缓存 中所述。然而,这在浏览器缓存中并不广泛支持。[HTTP-CACHING]
-
将request设为fetchParams的请求。
-
将httpFetchParams设为 null。
-
将httpRequest设为 null。
-
将response设为 null。
-
将storedResponse设为 null。
-
将httpCache设为 null。
-
取消设置revalidatingFlag。
-
运行以下步骤,但在中止时如果fetchParams为已取消:
-
如果request的window为"
no-window
"且request的重定向模式为"error
",则将httpFetchParams设为fetchParams,并将httpRequest设为request。 -
否则:
-
将includeCredentials设为 true,如果以下任一条件为 true:
否则为 false。
-
如果Cross-Origin-Embedder-Policy 允许凭证返回 false,则将includeCredentials设为 false。
-
将contentLength设为httpRequest的body的长度,如果httpRequest的body非空;否则设为 null。
-
将contentLengthHeaderValue设为 null。
-
如果httpRequest的body为 null,且httpRequest的方法是`
POST
`或`PUT
`,则将contentLengthHeaderValue设为`0
`。 -
如果contentLength非空,则将contentLengthHeaderValue设为contentLength,序列化并等形编码。
-
如果contentLengthHeaderValue非空,则附加(`
Content-Length
`,contentLengthHeaderValue)到httpRequest的header 列表。 -
如果contentLength非空,且httpRequest的keepalive为 true,则:
-
将inflightKeepaliveBytes设为 0。
-
将inflightRecords设为group中fetch 记录的集合,这些记录的请求的keepalive为 true,且done 标志未设置。
-
遍历inflightRecords中的每个fetchRecord:
-
如果contentLength和inflightKeepaliveBytes的总和超过 64 KiB,则返回网络错误。
上述限制确保了允许在httpRequest包含 body 的情况下,request 的大小是有界的,不允许无限期保持活动。
-
-
附加一个请求`
Origin
`header给httpRequest。 -
附加 Fetch metadata headers给httpRequest。[FETCH-METADATA]
-
如果httpRequest的initiator为"
prefetch
",则设置结构化字段值,给定(`Sec-Purpose
`,tokenprefetch
`)到httpRequest的header 列表。 -
如果httpRequest的header 列表中不包含`
User-Agent
`,则用户代理应附加(`User-Agent
`,默认`User-Agent
`值)到httpRequest的header 列表。 -
如果httpRequest的缓存模式为"
default
"且httpRequest的header 列表中包含`If-Modified-Since
`, `If-None-Match
`, `If-Unmodified-Since
`, `If-Match
`,或 `If-Range
`,则将httpRequest的缓存模式设为"no-store
"。 -
如果httpRequest的缓存模式为"
no-cache
",httpRequest的防止 no-cache cache-control header 修改标志未设置,且httpRequest的header 列表中不包含`Cache-Control
`,则附加(`Cache-Control
`,`max-age=0
`)到httpRequest的header 列表。 -
如果httpRequest的缓存模式为"
no-store
"或"reload
",则: -
如果httpRequest的header 列表中包含`
Range
`,则附加(`Accept-Encoding
`,`identity
`)到httpRequest的header 列表。 -
根据 HTTP 修改httpRequest的header 列表。如果httpRequest的header 列表中包含该header的名称,则不要附加。
最好能让这一点更具规范性。在这个阶段,headers如 `
Accept-Encoding
`, `Connection
`, `DNT
`,和 `Host
`, 应该在必要时附加。`
Accept
`, `Accept-Charset
`,和 `Accept-Language
`不应在此时包含。`
Accept
`和`Accept-Language
`已经包含 (除非使用fetch()
,默认情况下不包含后者),`Accept-Charset
`则是浪费字节。详见HTTP header 层次划分的更多细节。 -
如果includeCredentials为 true,则:
-
如果httpRequest的header 列表中不包含`
Authorization
`,则:-
将authorizationValue设为 null。
-
如果存在httpRequest的身份验证条目,并且httpRequest的use-URL-credentials 标志未设置或httpRequest的当前 URL不包含凭证,则将authorizationValue设为身份验证条目。
-
否则,如果httpRequest的当前 URL确实包含凭证且isAuthenticationFetch为 true,则将authorizationValue设为httpRequest的当前 URL,转换为`
Authorization
`值。 -
如果authorizationValue非空,则附加(`
Authorization
`,authorizationValue)到httpRequest的header 列表。
-
-
如果存在代理身份验证条目,则根据需要使用它。
这故意不依赖于httpRequest的凭证模式。
-
将httpCache设为确定 HTTP 缓存分区的结果,给定httpRequest。
-
如果httpCache为 null,则将httpRequest的缓存模式设为"
no-store
"。 -
如果httpRequest的缓存模式既不是"
no-store
"也不是"reload
",则:-
将storedResponse设为从httpCache中选择响应的结果,可能需要验证,如HTTP 缓存的"从缓存构建响应"一章中所述,如果有的话。[HTTP-CACHING]
根据 HTTP 的要求,这仍然会考虑`
Vary
`header。 -
如果storedResponse非空,则:
-
如果缓存模式为"
default
",storedResponse为stale-while-revalidate 响应,且httpRequest的client非空,则:-
将response设为storedResponse。
-
将response的缓存状态设为"
local
"。 -
将revalidateRequest设为request的克隆。
-
将revalidateRequest的缓存模式设为"
no-cache
"。 -
设置revalidateRequest的防止 no-cache cache-control header 修改标志。
-
将revalidateRequest的service-workers 模式设为"
none
"。 -
并行运行,给定新的fetch 参数,其中revalidateRequest为request。
此获取仅用于更新httpCache的状态,响应将在下一次缓存访问前未使用。陈旧的响应将用作当前请求的响应。此获取是在 client 的上下文中发出的,因此如果它消失,请求将被终止。
-
-
否则:
-
如果storedResponse为陈旧响应,则设置revalidatingFlag。
-
如果revalidatingFlag已设置,且httpRequest的缓存模式既不是"
force-cache
"也不是"only-if-cached
",则:-
如果storedResponse的header 列表中包含`
ETag
`,则附加(`If-None-Match
`,`ETag
`的值)到httpRequest的header 列表。 -
如果storedResponse的header 列表中包含`
Last-Modified
`,则附加(`If-Modified-Since
`,`Last-Modified
`的值)到httpRequest的header 列表。
另见HTTP 缓存的"发送验证请求"一章。[HTTP-CACHING]
-
-
否则,将response设为storedResponse,并将response的缓存状态设为"
local
"。
-
-
-
-
-
如果response为 null,则:
-
将forwardResponse设为运行HTTP-网络获取的结果,给定httpFetchParams,includeCredentials,以及isNewConnectionFetch。
-
如果httpRequest的方法为不安全的且forwardResponse的状态在 200 到 399 范围内,则使httpCache中的适当存储的响应失效,如HTTP 缓存的"使存储的响应失效"一章中所述,并将storedResponse设为 null。[HTTP-CACHING]
-
如果revalidatingFlag已设置,且forwardResponse的状态为 304,则:
-
使用forwardResponse的header 列表更新storedResponse的header 列表,如HTTP 缓存的"验证时刷新存储的响应"一章中所述。[HTTP-CACHING]
这还会更新缓存中的存储响应。
-
将response设为storedResponse。
-
将response的缓存状态设为"
validated
"。
-
-
如果response为 null,则:
-
将response设为forwardResponse。
-
将httpRequest和forwardResponse存储在httpCache中,如HTTP 缓存的"存储响应到缓存"一章中所述。[HTTP-CACHING]
如果forwardResponse是网络错误,这实际上缓存了网络错误,有时称为"负缓存"。
相关的body 信息与响应一起存储在缓存中。
-
-
如果httpRequest的header 列表中包含`
Range
`,则设置response的range-requested 标志。 -
将response的请求包含凭证设为includeCredentials。
-
如果response的状态为 401,httpRequest的响应污染不为"
cors
",includeCredentials为 true,且request的window为环境设置对象,则:-
需要测试:多个`
WWW-Authenticate
` headers,缺失,解析问题。 -
如果request的body非空,则:
-
如果request的use-URL-credentials 标志未设置或isAuthenticationFetch为 true,则:
-
将response设为运行HTTP-网络或缓存获取的结果,给定fetchParams并为 true。
-
-
如果response的状态为 407,则:
-
如果所有以下条件为 true:
则:
-
将response设为运行HTTP-网络或缓存获取的结果,给定fetchParams,isAuthenticationFetch,并为 true。
-
如果isAuthenticationFetch为 true,则为request创建一个身份验证条目和给定的域。
4.6. HTTP-网络获取
要执行HTTP-网络获取,给定fetchParams,一个可选的布尔值includeCredentials(默认为 false),以及一个可选的布尔值forceNewConnection(默认为 false),按以下步骤进行:
-
将request设为fetchParams的请求。
-
将response设为 null。
-
将timingInfo设为fetchParams的时序信息。
-
将networkPartitionKey设为给定request后确定网络分区键的结果。
-
将newConnection设为"
yes
",如果forceNewConnection为 true;否则为"no
"。 -
根据request的模式进行切换:
- "
websocket
" -
将connection设为获取 WebSocket 连接的结果,给定request的当前 URL。
- 否则
-
将connection设为获取连接的结果,给定networkPartitionKey、request的当前 URL、includeCredentials和newConnection。
- "
-
运行以下步骤,但在fetchParams中止时中止,fetchParams被取消:
-
如果connection失败,则返回网络错误。
-
将timingInfo的最终连接时序信息设为钳制并粗化连接时序信息的结果,给定connection的时序信息、timingInfo的重定向后启动时间和fetchParams的跨域隔离能力。
-
如果connection是 HTTP/1.x 连接,request的主体不为 null,且request的主体的源为 null,则返回网络错误。
- 将timingInfo的最终网络请求启动时间设为给定fetchParams的粗化的共享当前时间。
-
将response设为通过connection使用request进行 HTTP 请求的结果,并注意以下事项:
-
遵循 HTTP 的相关要求。[HTTP] [HTTP-CACHING]
-
如果request的主体不为 null,且request的主体的源为 null,则用户代理可以拥有最多 64 Kibibytes 的缓冲区,并将request的主体的一部分存储在该缓冲区中。如果用户代理从request的主体中读取的内容超出缓冲区大小,并且用户代理需要重新发送request,则返回网络错误。
-
在以下情况下:
-
将timingInfo的最终网络响应启动时间设为给定fetchParams的粗化的共享当前时间,即在用户代理的 HTTP 解析器接收到响应的第一个字节(例如,HTTP/2 的帧头字节或 HTTP/1.x 的响应状态行)之后立即进行。
-
等待直到所有的 HTTP 响应头都被传输完毕。
-
将status设为 HTTP 响应的状态码。
-
如果status在 100 到 199 之间(含 100 和 199):
-
如果timingInfo的首次中间网络响应启动时间为 0,则将timingInfo的首次中间网络响应启动时间设为timingInfo的最终网络响应启动时间。
-
如果status为 103 且fetchParams的处理早期提示响应不为 null,则排队一个 fetch 任务以运行fetchParams的处理早期提示响应,并使用response。
-
继续。
这些类型的 HTTP 响应最终会跟随一个"最终"的 HTTP 响应。
-
-
跳出。
-
Fetch 和 HTTP 之间的确切分层仍需理清,因此response在这里既代表响应,又代表一个 HTTP 响应。
如果 HTTP 请求导致 TLS 客户端证书对话框,则:
要传输request的主体body,执行以下步骤:
-
如果body为 null 且fetchParams的处理请求主体结束不为 null,则排队一个 fetch 任务,给定fetchParams的处理请求主体结束和fetchParams的任务目标。
-
否则,如果body为非空:
-
给定bytes,将processBodyChunk设为以下步骤:
-
将processEndOfBody设为以下步骤:
-
给定e,将processBodyError设为以下步骤:
-
如果fetchParams被取消,则中止这些步骤。
-
如果e是"
AbortError
"DOMException
,则中止fetchParams的控制器。
-
-
增量读取request的主体,给定processBodyChunk、processEndOfBody、processBodyError和fetchParams的任务目标。
-
-
-
-
如果中止,则:
-
如果connection使用 HTTP/2,则发送
RST_STREAM
帧。 -
返回fetchParams的适当的网络错误。
-
-
将buffer设为空的字节序列。
这表示用户代理内部网络层的缓冲区。
-
将pullAlgorithm设为以下步骤:
-
将stream设为一个新的
ReadableStream
。 -
设置stream的字节读取支持,pullAlgorithm设为pullAlgorithm,cancelAlgorithm设为cancelAlgorithm。
-
如果includeCredentials为 true,且用户代理未配置为阻止request的 cookie(见[COOKIES]第 7 节),则在每个header的名称与 `
Set-Cookie
` 匹配时,使用"set-cookie-string" 解析算法(见[COOKIES]第 5.2 节)解析response的header 列表中的值(如果有的话),并将其应用于request的当前 URL。 -
在并行中运行以下步骤:
-
运行以下步骤,但在fetchParams被中止时中止,fetchParams被取消:
-
在以下情况下:
-
如果已经从response的消息主体中传输了一个或多个字节,则:
-
将bytes设为已传输的字节。
-
将codings设为提取 header 列表值的结果,给定 `
Content-Encoding
` 和response的header 列表。 -
将bytes设为处理内容编码的结果,给定codings和bytes。
这使得 `
Content-Length
`header不再可靠。 -
将bytes附加到buffer中。
-
如果buffer的大小超过用户代理选择的上限,则要求用户代理暂停正在进行的获取操作。
-
-
否则,如果response的消息主体的字节传输已正常完成且stream处于可读状态,则关闭stream,并中止这些并行步骤。
-
-
-
如果中止,则:
-
4.7. CORS 预检获取
这实际上是用户代理实现的检查,以查看是否理解CORS 协议。所谓的CORS 预检请求。如果成功,它将填充CORS 预检缓存,以尽量减少这些获取的次数。
要执行CORS 预检获取,给定请求 request,请执行以下步骤:
-
令preflight为一个新的请求, 其方法为`
OPTIONS
`,URL 列表是request的URL 列表的克隆,发起者为request的发起者,目标为request的目标,源为request的源,引用为request的引用,引用策略为request的引用策略,模式为`cors
`,并且响应污染为`cors
`。preflight的service-workers 模式无关紧要, 因为此算法使用HTTP 网络或缓存获取而非HTTP 获取。
-
附加 (`
Access-Control-Request-Method
`, request的方法) 到preflight的头列表。 -
令headers为带有request的头列表的CORS 非安全请求头名称。
-
如果headers不为空,则:
-
令value为headers中各项之间用`
,
`分隔的值。 -
附加 (`
Access-Control-Request-Headers
`, value) 到preflight的头列表。
这故意不使用合并,因为0x2C后的0x20并不是这样实现的,不管是好是坏。
-
-
令response为运行HTTP 网络或缓存获取的结果,给定新的获取参数,其请求为preflight。
-
如果针对request和response的CORS 检查返回成功,且response的状态为OK 状态,则:
CORS 检查是在request而非preflight上进行的,以确保使用正确的凭证模式。
-
令methods为提取头列表值的结果,给定 `
Access-Control-Allow-Methods
` 和response的头列表。 -
令headerNames为提取头列表值的结果,给定 `
Access-Control-Allow-Headers
` 和response的头列表。 -
如果methods或headerNames为失败,返回网络错误。
-
如果methods为null且request的使用 CORS 预检标志被设置,则将 methods设置为包含request的方法的新列表。
这确保了由于设置了request的使用 CORS 预检标志而发生的CORS 预检获取被缓存。
-
如果request的方法不在methods中, request的方法不是CORS 安全列表方法,并且request的凭证模式为 `
include
`或methods不包含`*
`,则返回网络错误。 -
如果request的头列表中的一个名称是CORS 非通配符请求头名称 并且与headerNames中的项没有字节不区分大小写的匹配,则 返回网络错误。
-
对于request的头列表中的CORS 非安全请求头名称的每个unsafeName,如果unsafeName与headerNames中的项没有字节不区分大小写的匹配,并且request的凭证模式为`
include
`或headerNames不包含`*
`,则返回网络错误。 -
令max-age为提取头列表值的结果,给定 `
Access-Control-Max-Age
`和 response的头列表。 -
如果max-age为失败或null,则将max-age设置为5。
-
如果max-age大于对max-age施加的限制,则将max-age设置为施加的限制。
-
如果用户代理不提供缓存, 则返回response。
-
对于没有使用request的methods中的方法缓存条目匹配,使用request、 max-age、method和null创建新的缓存条目。
-
对于每个使用request的headerNames中的头名称缓存条目匹配,将匹配条目的max-age设置为max-age。
-
对于没有使用request的headerNames中的头名称缓存条目匹配,使用request、 max-age、null 和headerName创建新的缓存条目。
-
返回response。
-
-
否则,返回网络错误。
4.8. CORS 预检缓存
用户代理有一个关联的CORS 预检缓存。CORS 预检缓存是一个列表,其中包含缓存条目。
缓存条目包括:
- 键(一个网络分区键)
- 字节序列化的来源 (一个字节序列)
- URL(一个URL)
- 最大存活时间(以秒为单位的数字)
- 凭证(布尔值)
- 方法(null,
`
*
`,或一个方法) - 头名称(null,
`
*
`, 或一个头名称)
缓存条目必须在其最大存活时间字段中指定的秒数过去后从存储条目中删除。缓存条目可能会在此时刻到达之前被删除。
要创建一个新的缓存条目,给定request,max-age,method和headerName,运行以下步骤:
要清除缓存条目,给定request,移除用户代理的CORS 预检缓存中的任何缓存条目,其键是给定request时确定的网络分区键的结果,字节序列化的来源是给定request时字节序列化请求来源的结果,URL是request的当前 URL。
存在一个缓存条目匹配,用于缓存条目 entry,如果entry的键是给定request后确定网络分区键的结果,entry的字节序列化来源是使用request字节序列化请求来源的结果,entry的URL是request的当前URL,并且其中一个
为真。
当用户代理的CORS-preflight 缓存中存在一个缓存条目,且该条目与request存在缓存条目匹配,并且其方法为method或`*
`时,则method与request存在方法缓存条目匹配。
当用户代理的CORS 预检缓存中存在一个缓存条目,并且其缓存条目匹配使用request时,存在头名称缓存条目匹配,且满足以下条件之一:
- 其头名称与headerName为字节不区分大小写的匹配
- 其头名称为`
*
`,且headerName不是 CORS 非通配符请求头名称
为真。
4.9. CORS 检查
要对request和response执行CORS 检查,请执行以下步骤:
-
令origin为从response的头列表中获取`
Access-Control-Allow-Origin
`的结果。 -
如果origin为 null,则返回失败。
Null 不是`
null
`。 -
如果request的凭证模式不是`
include
`,且origin为`*
`,则返回成功。 -
如果使用request字节序列化请求来源的结果不为origin,则返回失败。
-
如果request的凭证模式不是`
include
`,则返回成功。 -
令credentials为从response的头列表中获取`
Access-Control-Allow-Credentials
`的结果。 -
如果credentials为`
true
`,则返回成功。 -
返回失败。
4.10. TAO 检查
要对request和response执行TAO 检查,请执行以下步骤:
5. Fetch API
这个fetch()
方法是用于fetching资源的相对底层的API。它涵盖的范围比XMLHttpRequest
略广,但在请求进展方面(非响应进展)目前有所欠缺。
fetch()
方法使得fetch资源并将其内容提取为Blob
相当简单:
fetch( "/music/pk/altes-kamuffel.flac" )
. then( res => res. blob()). then( playBlob)
如果你只关心记录一个特定的响应头:
fetch( "/" , { method: "HEAD" })
. then( res => log( res. headers. get( "strict-transport-security" )))
如果你想检查一个特定的响应头,然后处理跨域资源的响应:
fetch( "https://pk.example/berlin-calling.json" , { mode: "cors" })
. then( res => {
if ( res. headers. get( "content-type" ) &&
res. headers. get( "content-type" ). toLowerCase(). indexOf( "application/json" ) >= 0 ) {
return res. json()
} else {
throw new TypeError ()
}
}). then( processJSON)
如果你想处理URL查询参数:
var url = new URL( "https://geo.example.org/api" ),
params = { lat: 35.696233 , long : 139.570431 }
Object. keys( params). forEach( key => url. searchParams. append( key, params[ key]))
fetch( url). then( /* … */ )
如果你想逐步接收主体数据:
function consume( reader) {
var total = 0
return pump()
function pump() {
return reader. read(). then(({ done, value}) => {
if ( done) {
return
}
total += value. byteLength
log( `received ${ value. byteLength} bytes ( ${ total} bytes in total)` )
return pump()
})
}
}
fetch( "/music/pk/altes-kamuffel.flac" )
. then( res => consume( res. body. getReader()))
. then(() => log( "consumed the entire body without keeping the whole thing in memory!" ))
. catch ( e => log( "something went wrong: " + e))
5.1. Headers 类
typedef (sequence <sequence <ByteString >>or record <ByteString ,ByteString >); [
HeadersInit Exposed =(Window ,Worker )]interface {
Headers constructor (optional HeadersInit );
init undefined append (ByteString ,
name ByteString );
value undefined delete (ByteString );
name ByteString ?get (ByteString );
name sequence <ByteString >getSetCookie ();boolean has (ByteString );
name undefined set (ByteString ,
name ByteString );
value iterable <ByteString ,ByteString >; };
一个Headers
对象有一个关联的header
list(头列表)(一个头列表),它最初是空的。这可以是指向其他东西的头列表的指针,例如,像Request
对象展示的那样,指向一个请求的头列表。
一个Headers
对象也有一个关联的guard(保护),它是一个headers guard(头保护)。一个头保护是“immutable
”、“request
”、“request-no-cors
”、“response
”或“none
”。
-
headers = new Headers([init])
-
创建一个新的
Headers
对象。init可以用来填充它的内部头列表,如下面的示例所示。 -
headers . append(name, value)
-
将一个头添加到headers中。
-
headers . delete(name)
-
从headers中删除一个头。
-
headers . get(name)
-
以字符串形式返回所有名称为name的头的值,用逗号和空格分隔。
-
headers . getSetCookie()
-
返回所有名称为`
Set-Cookie
`的头的值的列表。 -
headers . has(name)
-
返回是否存在名称为name的头。
-
headers . set(name, value)
-
用value替换第一个名称为name的头的值,并删除任何剩余的名称为name的头。
for(const [name, value] of headers)
-
headers可以被迭代。
未共享“request-no-cors
”的步骤,因为在CORS-安全列出的请求头中,无法获得始终成功的虚假值(对于delete()
)。
要追加一个头(name, value)到一个Headers
对象headers,请执行以下步骤:
-
规范化 value。
-
如果为headers验证(name, value)返回false,则返回。
-
如果headers的保护是“
request-no-cors
”:-
如果temporaryValue为null,则将temporaryValue设置为value。
-
否则,将temporaryValue设置为temporaryValue,后跟0x2C 0x20,再后跟value。
-
如果(name, temporaryValue)不是一个no-CORS安全列出的请求头,则返回。
-
如果headers的保护是“
request-no-cors
”,则从headers中移除受保护的no-CORS请求头。
要填充一个Headers
对象headers,使用给定对象object,请执行以下步骤:
方法delete(name)
的步骤是:
方法getSetCookie()
的步骤是:
方法set(name, value)
的步骤是:
要迭代的值对是通过对排序和组合与this的头列表运行来返回的值。
5.2. BodyInit 联合类型
typedef (Blob 或 BufferSource 或 FormData 或 URLSearchParams 或 USVString );
XMLHttpRequestBodyInit typedef (ReadableStream 或 XMLHttpRequestBodyInit );
BodyInit
为了从安全提取一个带类型的body,从一个字节序列或BodyInit
对象object中,执行以下步骤:
-
如果object是一个
ReadableStream
对象,则: -
返回提取object的结果。
为了从提取一个带类型的body,从一个字节序列或BodyInit
对象object中,使用一个可选的布尔值keepalive(默认值为false),执行以下步骤:
-
让stream为null。
-
如果object是一个
ReadableStream
对象,则将stream设置为object。 -
否则,将stream设置为新的
ReadableStream
对象,并设置stream为字节读取支持。 -
断言:stream是一个
ReadableStream
对象。 -
让action为null。
-
让source为null。
-
让length为null。
-
让type为null。
-
根据object进行切换:
Blob
-
将source设置为object。
将length设置为object的
size
。如果object的
type
属性不是空字节序列,则将type设置为它的值。 - 字节序列
-
将source设置为object。
BufferSource
-
将source设置为对象持有字节的副本。
FormData
-
将action设置为此步骤:运行
multipart/form-data
编码算法,使用object的条目列表和UTF-8。将source设置为object。
将length设置为不明确,请参见html/6424以改进此内容。
将type设置为`
multipart/form-data; boundary=
`,后跟multipart/form-data
边界字符串,由multipart/form-data
编码算法生成。 URLSearchParams
-
将source设置为运行
application/x-www-form-urlencoded
序列化器的结果,与object的列表。将type设置为`
application/x-www-form-urlencoded;charset=UTF-8
`。 - 标量值字符串
-
将source设置为object的UTF-8编码。
将type设置为`
text/plain;charset=UTF-8
`。 ReadableStream
-
如果action不为null,则并行执行以下步骤:
-
运行action。
只要有一个或多个字节可用且stream没有错误,就将从可用字节创建的结果作为
Uint8Array
入队到stream中。当运行action完成时,关闭stream。
-
-
返回(body, type)。
5.3. Body 混入
interface mixin {
Body readonly attribute ReadableStream ?body ;readonly attribute boolean bodyUsed ; [NewObject ]Promise <ArrayBuffer >arrayBuffer (); [NewObject ]Promise <Blob >blob (); [NewObject ]Promise <Uint8Array >bytes (); [NewObject ]Promise <FormData >formData (); [NewObject ]Promise <any >json (); [NewObject ]Promise <USVString >text (); };
像HTML这样不希望网络层依赖的格式可能不会在此公开。相反,HTML解析器API可能会在适当的时候接受一个流。
包括Body
接口混入的对象有一个关联的body(null或body)。
包括Body
接口混入的对象在其body为非null且其body的stream为disturbed或locked时,称为unusable。
-
requestOrResponse . body
-
以
ReadableStream
形式返回requestOrResponse的body。 -
requestOrResponse . bodyUsed
-
返回requestOrResponse的body是否已被读取。
-
requestOrResponse . arrayBuffer()
-
返回一个promise,该promise在requestOrResponse的body作为
ArrayBuffer
时被实现。 -
requestOrResponse . blob()
-
返回一个promise,该promise在requestOrResponse的body作为
Blob
时被实现。 -
requestOrResponse . bytes()
-
返回一个promise,该promise在requestOrResponse的body作为
Uint8Array
时被实现。 -
requestOrResponse . formData()
-
返回一个promise,该promise在requestOrResponse的body作为
FormData
时被实现。 -
requestOrResponse . json()
-
返回一个promise,该promise在requestOrResponse的body被解析为JSON时被实现。
-
requestOrResponse . text()
-
返回一个promise,该promise在requestOrResponse的body作为字符串时被实现。
要获取MIME类型,给定一个Request
或Response
对象requestOrResponse:
-
将headers设为null。
-
如果requestOrResponse是一个
Request
对象,则将headers设为requestOrResponse的request的header list。 -
否则,将headers设为requestOrResponse的response的header list。
-
将mimeType设为从headers中提取MIME类型的结果。
-
如果mimeType失败,则返回null。
-
返回mimeType。
consume body算法,在给定一个包括Body
的object和一个接受字节序列并返回一个JavaScript值或抛出异常的算法convertBytesToJSValue时,执行以下步骤:
arrayBuffer()
方法的步骤是:将this与以下步骤一起运行consume body,给定一个字节序列bytes,返回从bytes创建的ArrayBuffer在this的相关领域中。
上面的方法可能会以RangeError
作为拒绝。
blob()
方法的步骤是:将this与以下步骤一起运行consume body,给定一个字节序列bytes,返回一个bytes作为内容的Blob
,其type
属性是使用this的获取MIME类型的结果。
bytes()
方法的步骤是返回运行consume body的结果,使用this并在给定字节序列bytes的情况下:返回创建的Uint8Array
的结果,这个this的relevant realm。
上述方法可能会因RangeError
而被拒绝。
formData()
方法的步骤是:将this与以下步骤一起运行consume body,给定一个字节序列bytes:
-
将mimeType设为使用this运行获取MIME类型的结果。
-
如果mimeType为非null,则切换mimeType的精髓并运行相应的步骤:
- "
multipart/form-data
" -
-
根据Returning Values from Forms: multipart/form-data中规定的规则,使用mimeType中的`
boundary
`参数的值来解析bytes。[RFC7578]每个`
Content-Disposition
`头包含`filename
`参数的部分,必须解析为一个条目,其值是一个File
对象,该对象的内容是该部分的内容。name
属性的值必须是该部分的`filename
`参数的值。type
属性的值必须是该部分的`Content-Type
`头的值(如果该部分有此头),否则为`text/plain
`([RFC7578]第4.4节定义的默认值)。每个`
Content-Disposition
`头不包含`filename
`参数的部分,必须解析为一个条目,其值为该部分内容的UTF-8无BOM解码的内容。这与是否存在或具有`Content-Type
`头以及`charset
`参数的值无关。一个`
Content-Disposition
`头包含`name
`参数,其值为`_charset_
`的部分,解析方式与其他部分相同。它不会更改编码。 -
返回一个新的
FormData
对象,将解析操作产生的每个entry附加到其entry list。
上面是
multipart/form-data
的粗略近似,正在编写更详细的解析规范。欢迎志愿者。 -
- "
application/x-www-form-urlencoded
"
- "
json()
方法的步骤是:将this与以下步骤一起运行consume body并从字节序列中解析JSON。
上面的方法可能会以SyntaxError
作为拒绝。
text()
方法的步骤是:将this与以下步骤一起运行consume body并UTF-8解码。
5.4. Request类
typedef (Request or USVString ); [
RequestInfo Exposed =(Window ,Worker )]interface {
Request constructor (RequestInfo ,
input optional RequestInit = {});
init readonly attribute ByteString method ;readonly attribute USVString url ; [SameObject ]readonly attribute Headers headers ;readonly attribute RequestDestination destination ;readonly attribute USVString referrer ;readonly attribute ReferrerPolicy referrerPolicy ;readonly attribute RequestMode mode ;readonly attribute RequestCredentials credentials ;readonly attribute RequestCache cache ;readonly attribute RequestRedirect redirect ;readonly attribute DOMString integrity ;readonly attribute boolean keepalive ;readonly attribute boolean isReloadNavigation ;readonly attribute boolean isHistoryNavigation ;readonly attribute AbortSignal signal ;readonly attribute RequestDuplex duplex ; [NewObject ]Request clone (); };Request includes Body ;dictionary {
RequestInit ByteString ;
method HeadersInit ;
headers BodyInit ?;
body USVString ;
referrer ReferrerPolicy ;
referrerPolicy RequestMode ;
mode RequestCredentials ;
credentials RequestCache ;
cache RequestRedirect ;
redirect DOMString ;
integrity boolean ;
keepalive AbortSignal ?;
signal RequestDuplex ;
duplex RequestPriority ;
priority any ; // can only be set to null };
window enum {
RequestDestination ,
"" ,
"audio" ,
"audioworklet" ,
"document" ,
"embed" ,
"font" ,
"frame" ,
"iframe" ,
"image" ,
"json" ,
"manifest" ,
"object" ,
"paintworklet" ,
"report" ,
"script" ,
"sharedworker" ,
"style" ,
"track" ,
"video" ,
"worker" };
"xslt" enum {
RequestMode ,
"navigate" ,
"same-origin" ,
"no-cors" };
"cors" enum {
RequestCredentials ,
"omit" ,
"same-origin" };
"include" enum {
RequestCache ,
"default" ,
"no-store" ,
"reload" ,
"no-cache" ,
"force-cache" };
"only-if-cached" enum {
RequestRedirect ,
"follow" ,
"error" };
"manual" enum {
RequestDuplex };
"half" enum {
RequestPriority ,
"high" ,
"low" };
"auto"
"serviceworker
" 从 RequestDestination
中省略了,因为它无法从
JavaScript 中观察到。实现仍然需要将其作为一个 destination 支持。"websocket
" 从 RequestMode
中省略了,因为它既不能使用也不能从 JavaScript 中观察到。
一个 Request
对象有一个相关的 request
(一个 request)。
一个 Request
对象也有一个相关的 headers(null 或
一个 Headers
对象),初始值为 null。
一个 Request
对象有一个相关的 signal(null 或
一个 AbortSignal
对象),初始值为 null。
一个 Request
对象的 body 是它的 request 的 body。
-
request = new Request(input [, init])
-
返回一个新的 request,其
url
属性是 input 如果 input 是字符串,并且 input 的url
如果 input 是一个Request
对象。init 参数是一个对象,其属性可以按如下方式设置:
method
- 一个字符串,用于设置 request 的
method
。 headers
- 一个
Headers
对象、一个对象字面量或一个由两个项目数组组成的数组,用于设置 request 的headers
。 body
- 一个
BodyInit
对象或 null 用于设置 request 的 body。 referrer
- 一个字符串,其值为同源 URL、"
about:client
" 或空字符串,用于设置 request 的 referrer。 referrerPolicy
- 一个 referrer policy 用于设置 request 的
referrerPolicy
。 mode
- 一个字符串,用于指示请求是使用 CORS,还是仅限于同源 URL。设置 request 的
mode
。 如果 input 是一个字符串,它默认为 "cors
"。 credentials
- 一个字符串,指示请求时是否始终、从不发送凭据,还是仅在发送到同源 URL 时发送——以及响应中返回的任何凭据是否始终、从不使用,还是仅在从同源 URL 接收到时使用。设置
request 的
credentials
。 如果 input 是一个字符串,它默认为 "same-origin
"。 cache
- 一个字符串,指示请求将如何与浏览器的缓存交互,以设置
request 的
cache
。 redirect
- 一个字符串,指示 request 是遵循重定向,在遇到重定向时产生错误,还是返回重定向(以不透明方式)。设置 request 的
redirect
。 integrity
- 通过 request 获取的资源的加密哈希值。设置 request 的
integrity
。 keepalive
- 一个布尔值,用于设置 request 的
keepalive
。 signal
- 一个
AbortSignal
用于设置 request 的signal
。 window
- 只能为 null。用于将 request 与任何
Window
解除关联。 duplex
- "
half
" 是唯一有效的值,它用于启动半双工 Fetch(即用户代理在处理响应之前发送整个请求)。 "full
" 保留供将来使用,用于启动全双工 Fetch(即用户代理可以在发送整个请求之前处理响应)。当body
是ReadableStream
对象时需要设置该成员。参见 issue #1254 以定义 "full
"。 priority
- 一个字符串,用于设置 request 的 priority。
-
request . method
- 返回 request 的 HTTP method,默认值为 "
GET
"。 -
request . url
- 以字符串形式返回 request 的 URL。
-
request . headers
- 返回一个
Headers
对象,该对象由与 request 关联的 headers 组成。 请注意,由用户代理在网络层添加的 headers 不会在此对象中计算,例如 "Host
" header。 -
request . destination
- 返回 request 请求的资源种类,例如 "
document
" 或 "script
"。 -
request . referrer
- 返回 request 的 referrer。如果在 init 中显式设置,其值可以是同源 URL、表示没有 referrer 的空字符串,以及默认为 global
默认值时的 "
about:client
"。这在 fetch 期间用于确定所发出请求的Referer
header 的值。 -
request . referrerPolicy
- 返回与 request 关联的 referrer policy。这在 fetch 期间用于计算 request 的 referrer 的值。
-
request . mode
- 返回与 request 关联的 mode,它是一个字符串,用于指示 请求是使用 CORS,还是仅限于同源 URL。
-
request . credentials
- 返回与 request 关联的 credentials mode,它是一个字符串, 指示请求时是否始终、从不发送凭据,还是仅在发送到同源 URL 时发送。
-
request . cache
- 返回与 request 关联的 cache mode,它是一个字符串,用于指示 请求在 fetch 时将如何与浏览器的缓存交互。
-
request . redirect
- 返回与 request 关联的 redirect mode,它是一个字符串,用于指示请求的重定向在 fetch 期间将如何处理。request 将默认跟随重定向。
-
request . integrity
- 返回 request 的子资源完整性元数据,它是 被 fetch 的资源的加密哈希。它的值由多个以空格分隔的哈希组成。[SRI]
-
request . keepalive
- 返回一个布尔值,指示 request 是否可以在其创建的 global 生命周期结束后继续存在。
-
request . isReloadNavigation
- 返回一个布尔值,指示 request 是否用于重新加载导航。
-
request . isHistoryNavigation
- 返回一个布尔值,指示 request 是否用于历史导航(即前进/后退导航)。
-
request . signal
- 返回与 request 关联的 signal,它是一个
AbortSignal
对象,指示 request 是否已被中止,以及其 abort 事件处理程序。 -
request . duplex
- 返回 "
half
",这意味着 fetch 将是半双工的(即用户代理在处理响应之前发送整个请求)。将来,它也可以返回 "full
",这意味着 fetch 将是全双工的(即用户代理可以在发送整个请求之前处理响应),以指示 fetch 将是全双工的。参见 issue #1254 以 定义 "full
"。 -
request . clone()
-
返回 request 的一个克隆。
要 创建
一个 Request
对象,给定一个 request request,headers guard
guard,AbortSignal
对象 signal,以及 realm realm:
-
将 requestObject 的 request 设置为 request。
-
将 requestObject 的 headers 设置为一个 新的
Headers
对象,具有 realm,其 headers list 是 request 的 headers list 且 guard 是 guard。 -
将 requestObject 的 signal 设置为 signal。
-
返回 requestObject。
new Request(input, init)
构造函数步骤如下:
-
令 request 为 null。
-
令 fallbackMode 为 null。
-
令 baseURL 为 this 的 相关设置对象 的 API base URL。
-
令 signal 为 null。
-
如果 input 是字符串,则:
-
否则:
-
令 window 为 "
client
"。 -
如果 request 的 window 是一个 环境设置对象 并且它的 origin 与 origin 同源,则将 window 设置为 request 的 window。
-
将 request 设置为一个新的 request, 其属性如下:
- URL
- request 的 URL。
- method
- request 的 method。
- header list
- 复制 request 的 header list。
- unsafe-request flag
- 已设置。
- client
- This 的 相关设置对象。
- window
- window。
- internal priority
- request 的 internal priority。
- origin
- request 的 origin。仅在服务工作线程处理导航请求时,origin 的传播才具有重要意义。在这种情况下,请求的 origin 可能与当前客户端不同。
- referrer
- request 的 referrer。
- referrer policy
- request 的 referrer policy。
- mode
- request 的 mode。
- credentials mode
- request 的 credentials mode。
- cache mode
- request 的 cache mode。
- redirect mode
- request 的 redirect mode。
- integrity metadata
- request 的 integrity metadata。
- keepalive
- request 的 keepalive。
- reload-navigation flag
- request 的 reload-navigation flag。
- history-navigation flag
- request 的 history-navigation flag。
- URL list
- 克隆 request 的 URL list。
- initiator type
- "
fetch
"。
-
如果 init 不为空,则:
-
如果 request 的 mode 是 "
navigate
",则将其设置为 "same-origin
"。 -
取消设置 request 的 reload-navigation flag。
-
取消设置 request 的 history-navigation flag。
-
将 request 的 origin 设置为 "
client
"。 -
将 request 的 referrer 设置为 "
client
"。 -
将 request 的 referrer policy 设置为空字符串。
-
将 request 的 URL 设置为 request 的 current URL。
这样做是为了确保当服务工作线程 "重定向" 请求时,例如从跨域样式表中的 图片,并进行修改时,它不再看起来来自原始源(即跨域样式表),而是来自执行请求 "重定向" 的服务工作线程。这一点很重要,因为原始源可能甚至无法生成与服务工作线程相同类型的请求。因此,如果不这样做,则可能会利用信任原始源的服务,尽管这有些牵强。
-
-
如果 init["
referrerPolicy
"] 存在,则将 request 的 referrer policy 设置为该值。 -
如果 mode 非 null,则将 request 的 mode 设置为 mode。
-
如果 init["
credentials
"] 存在,则将 request 的 credentials mode 设置为该值。 -
如果 init["
cache
"] 存在,则将 request 的 cache mode 设置为该值。 -
如果 request 的 cache mode 是 "
only-if-cached
" 并且 request 的 mode 不是 "same-origin
",则 抛出 一个TypeError
。 -
如果 init["
redirect
"] 存在,则将 request 的 redirect mode 设置为该值。 -
如果 init["
integrity
"] 存在,则将 request 的 integrity metadata 设置为该值。 -
-
如果 request 的 internal priority 非 null,则以 实现定义 的方式更新 request 的 internal priority。
-
-
令 signals 为 « signal » 如果 signal 非 null;否则为 « »。
-
将 this 的 signal 设置为 创建一个依赖的中止信号 的结果,使用
AbortSignal
和 this 的 相关 realm。 -
将 this 的 headers 设置为一个 新的
Headers
对象,使用 this 的 相关 realm,其 header list 是 request 的 header list 并且 guard 为 "request
"。 -
如果 init 不为空,则:
这些 headers 经过了消毒,因为它们可能包含此模式不允许的 headers。否则,它们之前已经经过消毒,或者自设置以来没有被修改,因为它们是由一个特权 API 设置的。
-
令 inputBody 为 input 的 request 的 body,如果 input 是一个
Request
对象;否则为 null。 -
如果 init["
body
"] 存在 并且非 null 或 inputBody 非 null,并且 request 的 method 是 `GET
` 或 `HEAD
`,则 抛出 一个TypeError
。 -
令 initBody 为 null。
-
令 inputOrInitBody 为 initBody 如果它非 null;否则为 inputBody。
-
如果 inputOrInitBody 非 null 并且 inputOrInitBody 的 source 为 null,则:
-
令 finalBody 为 inputOrInitBody。
-
如果 initBody 为 null 并且 inputBody 非 null,则:
The method
getter 的步骤是返回 this 的 request 的 method。
The url
getter 的步骤是返回 this
的 request 的 URL,并且序列化。
The headers
getter 的步骤是返回 this 的 headers。
The destination
getter 的步骤是返回 this 的 request 的 destination。
The referrer
getter 的步骤是:
The referrerPolicy
getter 的步骤是返回 this 的 request 的 referrer policy。
The mode
getter 的步骤是返回 this 的 request 的 mode。
The credentials
getter 的步骤是返回 this 的 request 的 credentials mode。
The cache
getter 的步骤是返回 this 的 request 的 cache mode。
The redirect
getter 的步骤是返回 this 的 request 的 redirect mode。
The integrity
getter 的步骤是返回 this 的 request 的 integrity metadata。
The keepalive
getter 的步骤是返回 this 的 request 的 keepalive。
The isReloadNavigation
getter 的步骤是返回
true 如果 this 的 request 的 reload-navigation flag 被设置;
否则返回 false。
The isHistoryNavigation
getter 的步骤是返回
true 如果 this 的 request 的 history-navigation flag 被设置;
否则返回 false。
The signal
getter 的步骤是返回 this 的 signal。
The duplex
getter 的步骤是返回
"half
"。