| CARVIEW |
Select Language
HTTP/2 200
content-type: text/html
x-guploader-uploadid: AAwnv3IW2SWrWKl0yJUDk_Nnq3B42L0MDvU0873QU82m24zJlIA7Q_4okkr46-ww1_xQmEuA
cache-control: public, max-age=3600
expires: Fri, 10 Oct 2025 16:12:03 GMT
last-modified: Fri, 10 Oct 2025 01:10:01 GMT
etag: W/"6eb60df3f19a9214b6b339a69ffdfa44"
x-goog-generation: 1760058601638678
x-goog-metageneration: 1
x-goog-stored-content-encoding: identity
x-goog-stored-content-length: 200158
x-goog-meta-goog-reserved-file-mtime: 1760056625
x-goog-hash: crc32c=RFQxhw==, md5=brYN8/GakhS2szmmn/36RA==
x-goog-storage-class: STANDARD
accept-ranges: none
alt-svc: h3=":443"; ma=2592000,h3-29=":443"; ma=2592000
alt-svc: clear
referrer-policy: strict-origin-when-cross-origin
x-content-type-options: nosniff
strict-transport-security: max-age=63072000
content-security-policy: default-src 'self'; script-src 'report-sample' 'self' 'wasm-unsafe-eval' https://www.google-analytics.com/analytics.js https://www.googletagmanager.com/gtag/js assets.codepen.io production-assets.codepen.io https://js.stripe.com 'sha256-XNBp89FG76amD8BqrJzyflxOF9PaWPqPqvJfKZPCv7M=' 'sha256-YCNoU9DNiinACbd8n6UPyB/8vj0kXvhkOni9/06SuYw=' 'sha256-PZjP7OR6mBEtnvXIZfCZ5PuOlxoDF1LDZL8aj8c42rw='; script-src-elem 'report-sample' 'self' 'wasm-unsafe-eval' https://www.google-analytics.com/analytics.js https://www.googletagmanager.com/gtag/js assets.codepen.io production-assets.codepen.io https://js.stripe.com 'sha256-XNBp89FG76amD8BqrJzyflxOF9PaWPqPqvJfKZPCv7M=' 'sha256-YCNoU9DNiinACbd8n6UPyB/8vj0kXvhkOni9/06SuYw=' 'sha256-PZjP7OR6mBEtnvXIZfCZ5PuOlxoDF1LDZL8aj8c42rw='; style-src 'report-sample' 'self' 'unsafe-inline'; object-src 'none'; base-uri 'self'; connect-src 'self' developer.allizom.org bcd.developer.allizom.org bcd.developer.mozilla.org updates.developer.allizom.org updates.developer.mozilla.org https://*.google-analytics.com https://*.analytics.google.com https://*.googletagmanager.com https://incoming.telemetry.mozilla.org https://observatory-api.mdn.allizom.net https://observatory-api.mdn.mozilla.net https://api.github.com/search/issues stats.g.doubleclick.net https://api.stripe.com; font-src 'self'; frame-src 'self' interactive-examples.mdn.mozilla.net interactive-examples.mdn.allizom.net mdn.github.io live-samples.mdn.mozilla.net live-samples.mdn.allizom.net *.mdnplay.dev *.mdnyalp.dev *.play.test.mdn.allizom.net https://v2.scrimba.com https://scrimba.com jsfiddle.net www.youtube-nocookie.com codepen.io survey.alchemer.com https://js.stripe.com; img-src 'self' data: *.githubusercontent.com *.googleusercontent.com *.gravatar.com mozillausercontent.com firefoxusercontent.com profile.stage.mozaws.net profile.accounts.firefox.com developer.mozilla.org mdn.dev interactive-examples.mdn.mozilla.net interactive-examples.mdn.allizom.net wikipedia.org upload.wikimedia.org https://mdn.github.io/shared-assets/ https://mdn.dev/ https://*.google-analytics.com https://*.googletagmanager.com www.gstatic.com; manifest-src 'self'; media-src 'self' archive.org videos.cdn.mozilla.net https://mdn.github.io/shared-assets/; child-src 'self'; worker-src 'self';
x-frame-options: DENY
origin-trial: AxVILwizhbMjxFeHOn1P3R8niO1RJY/smaK4B4d1rLzc1gTaxtXMSaTi+FoigYgCw40uFRDwFcEAeqDR+vVLOW4AAABfeyJvcmlnaW4iOiJodHRwczovL2RldmVsb3Blci5tb3ppbGxhLm9yZyIsImZlYXR1cmUiOiJQcml2YXRlQXR0cmlidXRpb25WMiIsImV4cGlyeSI6MTc0MjA3OTYwMH0=
x-cloud-trace-context: ceee81d869ea4ffa077c6460c5b8d2ce
date: Fri, 10 Oct 2025 15:12:04 GMT
server: Google Frontend
via: 1.1 google
vary: Accept-Encoding
content-encoding: gzip
x-cache: miss
Forbidden request header (禁止リクエストヘッダー) - MDN Web Docs 用語集 | MDN
Toggle sidebar
このページはコミュニティーの尽力で英語から翻訳されました。MDN Web Docs コミュニティーについてもっと知り、仲間になるにはこちらから。
Forbidden request header (禁止リクエストヘッダー)
禁止リクエストヘッダーは、リクエストにおいてプログラム的に設定したり変更したりすることができない HTTP ヘッダーの名前と値の組み合わせです。レスポンスで変更することが禁止されているヘッダーについては、禁止レスポンスヘッダー名を参照してください。
このようなヘッダーを変更することは禁止されています。なぜなら、ユーザーエージェントがヘッダーを完全に制御できるからです。
例えば、 Date ヘッダーは禁止リクエストヘッダーであるため、このコードではメッセージの Date フィールドを設定することはできません。
js
fetch("https://httpbin.org/get", {
headers: {
Date: new Date().toUTCString(),
},
});
Sec- で始まる名前は、 fetch() などのヘッダーを開発者が制御できる API から、新しいヘッダーを作成するために予約されています。
禁止ヘッダーは次のいずれかです。
Accept-CharsetAccept-EncodingAccess-Control-Request-HeadersAccess-Control-Request-MethodConnectionContent-LengthCookieDateDNTExpectHostKeep-AliveOriginPermissions-PolicyProxy-で始まるヘッダーSec-で始まるヘッダーRefererTETrailerTransfer-EncodingUpgradeViaX-HTTP-Method、ただし禁止メソッド名 (CONNECT,TRACE,TRACK) を含む場合のみX-HTTP-Method-Override、ただし禁止メソッド名を含む場合のみX-Method-Override、ただし禁止メソッド名を含む場合のみ
メモ:
User-Agent ヘッダーは禁止でしたが、そうではなくなりました。しかし、 Chrome はいまだに Fetch リクエストからこのヘッダーを削除します。(Chromium bug 571722 を参照)。
メモ:
Referer ヘッダーは、仕様書では禁止ヘッダーとしてリストアップされていますが、ユーザーエージェントがヘッダーを完全に制御できるわけではなく、ヘッダーはプログラムによって変更することができます。例えば、 fetch() を使用する場合、 Referer ヘッダーは、 referrer オプションを介してプログラムによって変更することができます。
関連情報
- 用語集の用語: