Fetch標準

目標

この標準の目標は、ウェブプラットフォーム全体でフェッチ処理を統一し、関連する全ての事項について一貫した取り扱いを提供することです。具体的には以下を含みます。

URLスキーム
リダイレクト
クロスオリジンのセマンティクス
CSP [CSP]
Fetch Metadata [FETCH-METADATA]
Service Workers [SW]
混在コンテンツ [MIX]
安全でないリクエストのアップグレード [UPGRADE-INSECURE-REQUESTS]
`Referer` [REFERRER]

そのため、この標準はThe Web Origin Conceptで最初に定義されたHTTP `Origin`ヘッダーのセマンティクスも置き換えます。[ORIGIN]

1. 序文

大まかに言えば、リソースのフェッチは非常に単純な操作です。リクエストが入力され、レスポンスが出力されます。しかしその詳細は複雑であり、かつては十分に文書化されていなかったり、APIごとに異なっていました。

多くのAPIがリソースをフェッチする機能を提供しています。例えばHTMLのimgやscript要素、CSSのcursorやlist-style-image、JavaScript APIであるnavigator.sendBeacon()やself.importScripts()などです。Fetch標準は、これらの機能について統一的なアーキテクチャを提供し、リダイレクトやCORSプロトコルなどフェッチに関する様々な側面で一貫性を持たせます。

Fetch標準はまた、ほとんどのネットワーク機能を比較的低レベルの抽象化で公開するfetch() JavaScript APIも定義します。

2. インフラストラクチャー

本仕様はInfra標準に依存します。[INFRA]

本仕様では、ABNF、Encoding、HTML、HTTP、MIME Sniffing、Streams、URL、Web IDL、WebSocketsの用語を使用します。 [ABNF] [ENCODING] [HTML] [HTTP] [MIMESNIFF] [STREAMS] [URL] [WEBIDL] [WEBSOCKETS]

ABNF とは、HTTPによって拡張されたABNF（特に#の追加）およびRFC 7405を意味します。[RFC7405]

認証情報とは、HTTPクッキー、TLSクライアント証明書、および認証エントリ（HTTP認証用）を指します。[COOKIES] [TLS] [HTTP]

fetch params は、構造体であり、 fetchアルゴリズムで帳簿管理の詳細として使われます。次の項目を持ちます:

request: request。
process request body chunk length （初期値 null）
process request end-of-body（初期値 null）
process early hints response（初期値 null）
process response（初期値 null）
process response end-of-body（初期値 null）
process response consume body（初期値 null）: nullまたはアルゴリズム。
task destination（初期値 null）: null、グローバルオブジェクト、または並列キュー。
cross-origin isolated capability（初期値 false）: 真偽値。
controller（初期値新しいfetch controller）: fetch controller。
timing info: fetch timing info。
preloaded response candidate（初期値 null）: null、"pending"、またはresponse。

fetch controllerは、構造体であり、 fetchの呼び出し元が開始後に特定の操作を行うことを可能にします。次の項目を持ちます:

state（初期値 "ongoing"）: "ongoing"、"terminated"、または"aborted"。
full timing info（初期値 null）: nullまたはfetch timing info。
report timing steps（初期値 null）: nullまたはグローバルオブジェクトを受け取るアルゴリズム。
serialized abort reason（初期値 null）: nullまたはRecord（StructuredSerializeの結果）。
next manual redirect steps（初期値 null）: nullまたは何も受け取らないアルゴリズム。

fetch controller controllerに対して、global object globalを与えて、report timingするには:

Assert: controllerの report timing stepsがnullでないことを確認する。
controllerのreport timing stepsを globalで呼び出す。

fetch controller controllerに対してprocess the next manual redirectするには:

Assert: controllerの next manual redirect stepsが nullでないことを確認する。
controllerのnext manual redirect stepsを呼び出す。

fetch controller controllerに対してextract full timing infoするには:

Assert: controllerのfull timing info がnullでないことを確認する。
controllerのfull timing infoを返す。

fetch controller controllerに対して、オプションのerrorでabortするには:

controllerのstateを"aborted"に設定する。
fallbackErrorを"AbortError" DOMExceptionとする。
errorが与えられなければ、fallbackErrorを設定する。
serializedErrorをStructuredSerialize(error)とする。例外が発生したら、それをキャッチしてserializedErrorを StructuredSerialize(fallbackError)とする。
controllerのserialized abort reasonに serializedErrorを設定する。

nullまたはRecord abortReasonとrealm realmを与えて、serialized abort reasonをデシリアライズするには:

fallbackErrorを"AbortError" DOMExceptionとする。
deserializedErrorをfallbackErrorとする。
abortReasonがnullでなければ、 deserializedErrorに StructuredDeserialize(abortReason, realm)を設定する。例外が発生したりundefinedを返したら、deserializedErrorをfallbackErrorに設定する。
deserializedErrorを返す。

fetch controller controllerに対してterminateするには、controllerのstateを "terminated"に設定する。

fetch params fetchParamsは、そのcontrollerのstateが "aborted"であれば、abortedである。

fetch params fetchParamsは、そのcontrollerのstateが "aborted"または"terminated"であれば、canceledである。

fetch timing infoは、構造体であり、 Resource TimingやNavigation Timingで必要なタイミング情報を保持します。次の項目を持ちます: [RESOURCE-TIMING] [NAVIGATION-TIMING]

start time（初期値 0）
redirect start time（初期値 0）
redirect end time（初期値 0）
post-redirect start time（初期値 0）
final service worker start time （初期値 0）
final network-request start time （初期値 0）
first interim network-response start time（初期値 0）
final network-response start time （初期値 0）
end time（初期値 0）: DOMHighResTimeStamp。
final connection timing info（初期値 null）: nullまたはconnection timing info。
server-timing headers（初期値 « »）: 文字列のリスト。
render-blocking（初期値 false）: 真偽値。

response body info は、構造体であり、 Resource TimingやNavigation Timingで必要な情報を保持します。次の項目を持ちます: [RESOURCE-TIMING] [NAVIGATION-TIMING]

encoded size （初期値 0）
decoded size （初期値 0）: 数値。
content type（初期値空文字列）: ASCII文字列。
content encoding（初期値空文字列）: ASCII文字列。

fetch timing info timingInfoを与えてopaque timing infoを作成するには、 timingInfoのstart timeおよび post-redirect start timeが timingInfoのstart timeとなる新しいfetch timing infoを返す。

アルゴリズムalgorithm、グローバルオブジェクトまたは並列キュー taskDestinationを与えてfetchタスクをキューするには、次の手順を実行する:

taskDestinationが並列キューであれば、 enqueue algorithmを taskDestinationへ。
それ以外の場合、グローバルタスクをキューする。networking task sourceで taskDestinationおよびalgorithmとともに。

整数を直列化するには、最も短い10進数の文字列として表現する。

これは今後、Infraでより詳細なアルゴリズムに置き換えられます。詳しくは infra/201を参照してください。

2.1. URL

ローカルスキームは「about」、「blob」、または「data」です。

URLは、そのスキームがローカルスキームであれば、ローカルです。

この定義はReferrer Policyでも使用されています。[REFERRER]

HTTP(S)スキームは「http」または「https」です。

fetchスキームは「about」、「blob」、「data」、「file」、またはHTTP(S)スキームです。

HTTP(S)スキームおよびfetchスキームはHTMLでも使われます。 [HTML]

2.2. HTTP

フェッチはHTTPだけでなくより広い概念を含みますが、多くの概念をHTTPから借用し、それらを他の手段（例：data URL）で取得したリソースにも適用します。

HTTPタブまたはスペースは U+0009 TAB または U+0020 SPACE です。

HTTP空白はU+000A LF、U+000D CR、またはHTTPタブまたはスペースです。

HTTP空白は、HTTPヘッダー以外の文脈（例：MIMEタイプ）で再利用される特定の構文だけに役立ちます。HTTPヘッダー値ではHTTPタブまたはスペースの使用が推奨され、それ以外の文脈ではASCII空白の方が好まれます。ASCII空白とは異なり、U+000C FFは除外されます。

HTTP改行バイトは 0x0A (LF) または 0x0D (CR) です。

HTTPタブまたはスペースバイトは 0x09 (HT) または 0x20 (SP) です。

HTTP空白バイトは、HTTP改行バイトまたは HTTPタブまたはスペースバイトです。

文字列 input、位置変数 position、および省略可能な真偽値extract-value（初期値はfalse）を与えて HTTP引用文字列を収集するには、次の手順を実行する：

positionStartをpositionとする。
valueを空文字列とする。
Assert：inputのpositionの符号位置が U+0022 (") であること。
positionを1進める。
無限ループ：
1. positionからU+0022 (") または U+005C (\) でない符号位置の列を収集し、その結果をvalueに追加する。
2. positionがinputの末尾を過ぎていれば break。
3. quoteOrBackslashをinputのpositionの符号位置とする。
4. positionを1進める。
5. quoteOrBackslashがU+005C (\) なら：
  1. positionがinputの末尾を過ぎていれば、U+005C (\) をvalueに追加しbreak。
  2. inputのpositionの符号位置をvalueに追加する。
  3. positionを1進める。
6. それ以外の場合：
  1. Assert：quoteOrBackslashはU+0022 (") であること。
  2. break。
extract-valueがtrueなら、valueを返す。
inputのpositionStartからpositionまでの符号位置を返す。

入力	出力	`extract-value`がtrueの場合の出力	最終的な位置変数の値
"`"\`"	"`"\`"	"`\`"	2
"`"Hello" World`"	"`"Hello"`"	"`Hello`"	7
"`"Hello \\ World\""`"	"`"Hello \\ World\""`"	"`Hello \ World"`"	18

これらの例では位置変数は常に0から開始します。

2.2.1. メソッド

メソッドとは、バイト列であり、 methodトークン生成規則に一致するものです。

CORSセーフリストメソッドとは、メソッドのうち、 `GET`、`HEAD`、`POST` のいずれかです。

禁止メソッドとは、メソッドのうち、 `CONNECT`、`TRACE`、`TRACK` とバイト大小区別なしで一致するものです。 [HTTPVERBSEC1]、[HTTPVERBSEC2]、 [HTTPVERBSEC3]

メソッドを正規化するには、それが `DELETE`、`GET`、`HEAD`、`OPTIONS`、`POST`、`PUT` のいずれかとバイト大小区別なしで一致する場合、バイト大文字化すること。

正規化は後方互換性およびAPI間の一貫性のために行われます。実際にはメソッドは「大文字小文字を区別」します。

`patch`を使うとほとんどの場合 `405 Method Not Allowed` になります。`PATCH` のほうが成功しやすいです。

メソッドには制限はありません。`CHICKEN`も完全に許容されます（`CHECKIN`の綴り間違いではありません）。正規化されるもの以外は大文字小文字の制限もありません。`Egg`や`eGg`でも問題ありませんが、一貫性のため大文字を推奨します。

2.2.2. ヘッダー

HTTPでは一般的に、ヘッダーを「フィールド」または「ヘッダーフィールド」と呼びます。ウェブプラットフォームでは、より口語的な「ヘッダー」という用語が使われます。[HTTP]

ヘッダーリストとは、ゼロ個以上のリストであり、ヘッダーから成ります。初期値は « » です。

ヘッダーリストは本質的に特殊なマルチマップ、すなわち重複するキーを持つ可能性のある順序付きキー・バリューのリストです。`Set-Cookie`以外のヘッダーは常にクライアントサイドJavaScriptに公開される際に結合されるため、実装はより効率的な表現を選択しても問題ありませんが、`Set-Cookie`ヘッダー用の関連するデータ構造はサポートする必要があります。

ヘッダー名nameと文字列typeをヘッダーリスト listから与えて、構造化フィールド値を取得するには、次の手順を実行します。返り値はnullまたは構造化フィールド値です。

Assert: typeは"dictionary"、"list"、"item"のいずれかであること。
valueにlistからnameを取得した結果を格納する。
valueがnullなら、nullを返す。
resultにinput_stringをvalue、header_typeをtypeとしてstructured fieldsをパースした結果を格納する。
パースに失敗した場合、nullを返す。
resultを返す。

構造化フィールド値の取得は、ヘッダーが存在しない場合と、その値のパースが構造化フィールド値として失敗した場合を区別しません。これによりウェブプラットフォーム全体で一貫した処理が保証されます。

タプル（ヘッダー名 name、構造化フィールド値 structuredValue）とヘッダーリスト listを与えて構造化フィールド値を設定するには:

serializedValueに structured fieldsのシリアライズアルゴリズムをstructuredValueに対して実行した結果を格納する。
設定（name, serializedValue）を listに行う。

構造化フィールド値はHTTPが（将来的に）興味深く効率的な方法でシリアライズできるオブジェクトとして定義されています。現時点では、Fetchはヘッダー値をバイト列としてのみサポートしているため、これらのオブジェクトはシリアライズを通じてのみヘッダーリストに設定でき、パースによってのみヘッダーリストから取得できます。将来的にはこれらがエンドツーエンドでオブジェクトとして保持される可能性があります。[RFC9651]

ヘッダーリスト listがヘッダー名 nameを含むのは、 listが含むとき、ヘッダーであって、その名前がバイト大小区別なしでnameと一致する場合です。

ヘッダー名 nameをヘッダーリスト listから取得するには、次の手順を実行する。返り値はnullまたはヘッダー値。

listが含まない場合、nullを返す。
list内の、ヘッダーで名前がバイト大小区別なしでnameと一致するものすべての値を、0x2C 0x20で区切って順番通りに返す。

ヘッダー名 nameをヘッダーリスト listから取得・デコード・分割するには、次の手順を実行する。返り値はnullまたは文字列のリスト。

valueに、listからnameを取得した結果を格納する。
valueがnullなら、nullを返す。
valueを取得・デコード・分割した結果を返す。

取得・デコード・分割が、`A`をname引数として実際にどのように動作するかを示します：

ヘッダー（ネットワーク上）	出力
`A: nosniff,`	« "`nosniff`", "" »
`A: nosniff B: sniff A:`	« "`nosniff`", "" »
`A: B: sniff`	« "" »
`B: sniff`	null
`A: text/html;", x/x`	« "`text/html;", x/x`" »
`A: text/html;" A: x/x`	« "`text/html;", x/x`" »
`A: x/x;test="hi",y/y`	« "`x/x;test="hi"`", "`y/y`" »
`A: x/x;test="hi" C: bingo A: y/y`	« "`x/x;test="hi"`", "`y/y`" »
`A: x / x,,,1`	« "`x / x`", "", "", "`1`" »
`A: x / x A: , A: 1`	« "`x / x`", "", "", "`1`" »
`A: "1,2", 3`	« "`"1,2"`", "`3`" »
`A: "1,2" D: 4 A: 3`	« "`"1,2"`", "`3`" »

ヘッダー値 valueを取得・デコード・分割するには、次の手順を実行します。返り値は文字列のリストです。

inputにvalueをisomorphic decodeした結果を格納する。
positionをinputの位置変数として、先頭位置に設定する。
valuesを文字列のリストとして初期化する（初期値 « »）。
temporaryValueを空文字列とする。
無限ループ：
1. positionからU+0022 (") または U+002C (,) でない符号位置の列を収集し、その結果をtemporaryValueに追加する。
  
  この結果は空文字列でもよい。
2. positionがinputの末尾を過ぎておらず、かつinputのpositionの符号位置がU+0022 (")なら：
  1. input、positionでHTTP引用文字列を収集し、その結果をtemporaryValueに追加する。
  2. positionがまだ末尾を過ぎていなければcontinue。
3. temporaryValueの先頭および末尾からすべてのHTTPタブまたはスペースを除去する。
4. 追加 temporaryValueをvaluesに。
5. temporaryValueを空文字列に戻す。
6. positionがinputの末尾を過ぎていれば、valuesを返す。
7. Assert：inputのpositionの符号位置はU+002C (,)であること。
8. positionを1だけ進める。

祝福された呼び出し箇所以外では、このアルゴリズムは直接呼び出してはいけません。代わりに取得・デコード・分割を使ってください。

ヘッダー (name, value) をヘッダーリスト listに追加するには：

listがnameを含む場合、nameを最初に該当するヘッダーの名前に設定する。

これによって、既存のヘッダーの名前の大文字・小文字が再利用されます。複数一致する場合、すべてのヘッダーの名前は同一になります。
追加 (name, value) をlistに。

ヘッダー名 nameをヘッダーリスト listから削除するには、削除ヘッダーすべて（名前がバイト大小区別なしでnameと一致するもの）をlistから取り除く。

ヘッダー (name, value) をヘッダーリスト listに設定するには：

listがnameを含む場合、最初の該当ヘッダーの値をvalueに設定し、他の該当ヘッダーは削除する。
それ以外の場合、追加 (name, value) をlistに。

ヘッダー (name, value) をヘッダーリスト listで結合するには：

listがnameを含む場合、最初の該当ヘッダーの値の後ろに0x2C 0x20を挟んでvalueを追加する。
それ以外の場合、追加 (name, value) をlistに。

結合はXMLHttpRequest および WebSocketプロトコルハンドシェイクで使われます。

名前のリスト headerNamesを与えてソート済み小文字集合へ変換するには、次の手順を実行する。返り値は順序付き集合（ヘッダー名）。

headerNamesSetを新しい順序付き集合とする。
各headerNamesのnameについて、追加として、バイト小文字化したnameをheaderNamesSetに加える。
昇順ソートをheaderNamesSetに対してバイト小なりで行い、その結果を返す。

ヘッダーリスト listをソートおよび結合するには、次の手順を実行する。返り値はヘッダーリスト。

headersをヘッダーリストとして初期化する。
namesに、list内の全名前をソート済み小文字集合へ変換した結果を格納する。
各namesのnameについて：
1. nameが`set-cookie`なら：
  1. valuesにlist内でnameとバイト大小区別なしで一致するヘッダーすべての値を順番通り格納するリストとする。
  2. 各valuesのvalueについて：
    1. 追加 (name, value) をheadersに。
2. それ以外の場合：
  1. valueにlistからnameを取得した結果を格納する。
  2. Assert：valueはnullでないこと。
  3. 追加 (name, value) をheadersに。
headersを返す。

ヘッダーは、タプルであり、名前（ヘッダー名）と値（ヘッダー値）から構成されます。

ヘッダー名は、バイト列であり、 field-nameトークン生成規則に一致するものです。

ヘッダー値は、バイト列であり、次の条件を満たすものです。

先頭および末尾にHTTPタブまたはスペースバイトがないこと。
0x00 (NUL) やHTTP改行バイトを含まないこと。

ヘッダー値の定義は、field-valueトークン生成規則に基づいていません。これは既存のコンテンツとの非互換性があるためです。

バイト列 potentialValueを正規化するには、potentialValueから先頭および末尾のHTTP空白バイトを除去する。

ヘッダー（name, value）がCORSセーフリストリクエストヘッダーかどうかを判定するには、次の手順を実行する：

valueの長さが128より大きい場合、falseを返す。
バイト小文字化したnameで次の分岐を行う：
`accept`

valueにCORS-unsafeリクエストヘッダーバイトが含まれていれば、falseを返す。

`accept-language`
`content-language`

valueに、0x30 (0)～0x39 (9)、0x41 (A)～0x5A (Z)、0x61 (a)～0x7A (z)、0x20 (SP)、0x2A (*)、0x2C (,)、0x2D (-)、0x2E (.)、0x3B (;)、0x3D (=) 以外のバイトが含まれていれば、falseを返す。

`content-type`
1. valueにCORS-unsafeリクエストヘッダーバイトが含まれていれば、falseを返す。
2. mimeTypeにMIMEタイプのパースをisomorphic decodeしたvalueに対して行った結果を格納する。
3. mimeTypeがfailureならfalseを返す。
4. mimeTypeのessenceが "application/x-www-form-urlencoded", "multipart/form-data", "text/plain" 以外ならfalseを返す。
ここではMIMEタイプの抽出アルゴリズムは使いません。これは寛容すぎるためで、サーバー側がそのまま実装することを想定していません。
MIMEタイプの抽出を使った場合、次のリクエストはCORSプリフライトにならず、サーバーの単純なパーサーがリクエストボディをJSONとして扱うかもしれません：
```
fetch("https://victim.example/naïve-endpoint", {
  method: "POST",
  headers: [
    ["Content-Type", "application/json"],
    ["Content-Type", "text/plain"]
  ],
  credentials: "include",
  body: JSON.stringify(exerciseForTheReader)
});
```
`range`
1. rangeValueに単一レンジヘッダー値のパースをvalueとfalseで行った結果を格納する。
2. rangeValueがfailureならfalseを返す。
3. rangeValue[0]がnullならfalseを返す。
  
  ウェブブラウザは歴史的に `bytes=-500` のようなレンジは出さないため、このアルゴリズムはそれらをセーフリスト化しません。
その他

falseを返す。
trueを返す。

`Content-Type`ヘッダーのセーフリストには限定的な例外があり、CORSプロトコルの例外に記載されています。

CORS-unsafeリクエストヘッダーバイトとは、バイトbyteが次のいずれかに該当する場合です：

byteが0x20未満かつ0x09 HTでない場合
byteが0x22（"）、0x28（左括弧）、0x29（右括弧）、0x3A（:）、0x3C（<）、0x3E（> ）、0x3F（?）、0x40（@）、0x5B（[）、0x5C（\）、0x5D（]）、0x7B（{）、0x7D（}）、または0x7F DELの場合。

CORS-unsafeリクエストヘッダー名は、ヘッダーリスト headersに対して次の手順で決定します：

unsafeNamesを新しいリストとする。
potentiallyUnsafeNamesを新しいリストとする。
safelistValueSizeを0とする。
各 headers の header について：
1. headerがCORSセーフリストリクエストヘッダーでなければ、appendでheaderの名前をunsafeNamesに加える。
2. それ以外の場合、appendでheaderの名前をpotentiallyUnsafeNamesに加え、safelistValueSizeにheaderの値の長さを加算する。
safelistValueSizeが1024より大きければ、各 potentiallyUnsafeNamesのnameについて、appendで nameをunsafeNamesに加える。
ソート済み小文字集合へ変換したunsafeNamesを返す。

CORSノンワイルドカードリクエストヘッダー名は、ヘッダー名であり、バイト大小区別なしで`Authorization`と一致するものです。

特権no-CORSリクエストヘッダー名は、ヘッダー名であり、バイト大小区別なしで以下のいずれかと一致するものです。

`Range`。

これらは特権APIによって設定できるヘッダーであり、関連するリクエストオブジェクトがコピーされた場合は保持されますが、非特権APIによってリクエストが変更された場合には削除されます。

`Range`ヘッダーは、ダウンロードやメディアの取得によく使われます。

特定のリクエストにRangeヘッダーを追加するためのヘルパーも用意されています。

CORSセーフリストレスポンスヘッダー名は、リストヘッダー名 list を与えて、以下のいずれかにバイト大小区別なしで一致するヘッダー名です。

`Cache-Control`
`Content-Language`
`Content-Length`
`Content-Type`
`Expires`
`Last-Modified`
`Pragma`
list内の項目で、禁止レスポンスヘッダー名でないもの

no-CORSセーフリストリクエストヘッダー名は、ヘッダー名であり、バイト大小区別なしで以下のいずれかと一致するものです。

`Accept`
`Accept-Language`
`Content-Language`
`Content-Type`

ヘッダー（name, value）がno-CORSセーフリストリクエストヘッダーかどうかを判定するには、次の手順を実行します：

nameがno-CORSセーフリストリクエストヘッダー名でなければfalseを返す。
（name, value）がCORSセーフリストリクエストヘッダーかどうかを返す。

ヘッダー（name, value）が禁止リクエストヘッダーかどうかは、次の手順でtrueなら該当します：

nameが、次のいずれかにバイト大小区別なしで一致すればtrueを返す：
- `Accept-Charset`
- `Accept-Encoding`
- `Access-Control-Request-Headers`
- `Access-Control-Request-Method`
- `Connection`
- `Content-Length`
- `Cookie`
- `Cookie2`
- `Date`
- `DNT`
- `Expect`
- `Host`
- `Keep-Alive`
- `Origin`
- `Referer`
- `Set-Cookie`
- `TE`
- `Trailer`
- `Transfer-Encoding`
- `Upgrade`
- `Via`
該当すればtrueを返す。
nameをバイト小文字化し、`proxy-`または`sec-`で始まる場合、trueを返す。
nameが、次のいずれかにバイト大小区別なしで一致すれば：
- `X-HTTP-Method`
- `X-HTTP-Method-Override`
- `X-Method-Override`
その場合：
1. parsedValuesに取得・デコード・分割したvalueの結果を格納する。
2. 各parsedValuesのmethodについて、そのisomorphic encodeが禁止メソッドであればtrueを返す。
falseを返す。

これらはユーザーエージェントが完全に制御できるようにするために禁止されています。

ヘッダー名が`Sec-`で始まるものは、新しいヘッダーをAPIで開発者が制御できるfetch系API（例：XMLHttpRequest）で安全に追加できるように予約されています。[XHR]

`Set-Cookie`ヘッダーは意味的にはレスポンスヘッダーであり、リクエストには不要です。また、`Set-Cookie`ヘッダーは結合できないため、Headersオブジェクトではより複雑な処理が必要となります。ここで禁止することで、この複雑さがリクエストに漏れないようにしています。

禁止レスポンスヘッダー名は、ヘッダー名であり、バイト大小区別なしで以下のいずれかに一致するものです。

`Set-Cookie`
`Set-Cookie2`

リクエストボディヘッダー名は、ヘッダー名であり、バイト大小区別なしで以下のいずれかに一致するものです。

`Content-Encoding`
`Content-Language`
`Content-Location`
`Content-Type`

ヘッダー headerに対してヘッダー値を抽出するには次の手順を実行します：

headerの値を、そのheaderの名前に該当するABNFでパースして失敗したらfailureを返す。
headerの値を、そのheaderの名前に該当するABNFでパースした結果の1つ以上の値を返す。

ヘッダー名 nameとヘッダーリスト listを与えてヘッダーリスト値を抽出するには次の手順を実行します：

listがnameを含まない場合、nullを返す。
nameに該当するABNFが単一のヘッダーしか許可しない場合、かつlistが複数含む場合はfailureを返す。

異なるエラー処理が必要な場合は、先に必要なヘッダーを抽出してください。
valuesを空のリストとする。
listがnameのヘッダーを含む各headerについて：
1. extractにheaderからヘッダー値を抽出した結果を格納する。
2. extractがfailureならfailureを返す。
3. extract内の各値を順番にvaluesへ追加する。
valuesを返す。

整数rangeStart、整数rangeEnd、整数fullLengthを与えてコンテンツレンジを構築するには、次の手順を実行します：

contentRangeを`bytes `とする。
rangeStartを直列化し、isomorphic encodeしてcontentRangeに追加する。
0x2D (-) をcontentRangeに追加する。
rangeEndを直列化し、isomorphic encodeしてcontentRangeに追加する。
0x2F (/) をcontentRangeに追加する。
fullLengthを直列化し、isomorphic encodeしてcontentRangeに追加する。
contentRangeを返す。

バイト列 valueと真偽値allowWhitespaceを与えて単一レンジヘッダー値のパースを行うには、次の手順を実行します：

dataにvalueをisomorphic decodeした結果を格納する。
dataが"bytes"で始まらない場合、failureを返す。
positionをdataの5番目の符号位置を指す位置変数として初期化する。
allowWhitespaceがtrueなら、HTTPタブまたはスペースをdataのpositionから収集する。
positionのdataにおける符号位置がU+003D (=)でなければfailureを返す。
positionを1進める。
allowWhitespaceがtrueなら、HTTPタブまたはスペースをdataのpositionから収集する。
rangeStartにdataのpositionからASCII数字の列を収集した結果を格納する。
rangeStartValueにrangeStartが空でなければ10進数として解釈した値を、空ならnullを格納する。
allowWhitespaceがtrueなら、HTTPタブまたはスペースをdataのpositionから収集する。
positionのdataにおける符号位置がU+002D (-)でなければfailureを返す。
positionを1進める。
allowWhitespaceがtrueなら、HTTPタブまたはスペースをdataのpositionから収集する。
rangeEndにdataのpositionからASCII数字の列を収集した結果を格納する。
rangeEndValueにrangeEndが空でなければ10進数として解釈した値を、空ならnullを格納する。
positionがdataの末尾を過ぎていなければfailureを返す。
rangeEndValueとrangeStartValueが両方nullならfailureを返す。
rangeStartValueとrangeEndValueが数値で、rangeStartValueがrangeEndValueより大きければfailureを返す。
(rangeStartValue, rangeEndValue)を返す。

rangeのendまたはstartは省略可能であり、`bytes=0-`や`bytes=-500`も有効なレンジです。

単一レンジヘッダー値のパースは許可されるレンジヘッダー値の一部でしか成功しませんが、ユーザーエージェントがメディアやダウンロード再開時に使用する最も一般的な形式です。この形式のレンジヘッダー値はRangeヘッダーを追加で設定できます。

デフォルト`User-Agent`値は、`User-Agent`ヘッダーに対する実装依存のヘッダー値です。

ドキュメント`Accept`ヘッダー値は `text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8`です。

2.2.3. ステータス

ステータスは、0から999までの整数です。

HTTP/1のstatus-codeをこの概念にマッピングする際の様々な端ケースについては、issue #1156で対応中です。

nullボディステータスは、ステータスが101、103、204、205、または304の場合です。

OKステータスは、ステータスが200から299までの範囲の場合です。

リダイレクトステータスは、ステータスが301、302、303、307、または308の場合です。

2.2.4. ボディ

ボディは次の要素から成ります：

ストリーム（ReadableStream オブジェクト）
ソース（null、バイト列、Blob オブジェクト、またはFormData オブジェクト）、初期値はnull
長さ（nullまたは整数）、初期値はnull

ボディ bodyを複製するには、次の手順を実行します：

« out1, out2 »をbodyのストリームに対してteeした結果とする。
bodyのストリームをout1に設定する。
他のメンバーはbodyからコピーし、ボディでstreamがout2のものを返す。

バイト列 bytesをボディとして取得するには、安全に抽出したbytesのボディを返す。

ボディ bodyを逐次的に読み込むには、アルゴリズムprocessBodyChunk、アルゴリズムprocessEndOfBody、アルゴリズムprocessBodyError、および省略可能なnull/並列キューまたはグローバルオブジェクト taskDestination（デフォルトnull）を与えて、次の手順を実行します。 processBodyChunkはバイト列を受け取るアルゴリズム、processEndOfBodyは引数なしアルゴリズム、processBodyErrorは例外を受け取るアルゴリズムでなければなりません。

taskDestinationがnullなら、新しい並列キューの開始の結果をtaskDestinationに設定する。
readerにbodyのストリームに対してリーダーの取得を実行した結果を格納する。

この操作で例外はスローされません。
逐次読み込みループをreader、taskDestination、processBodyChunk、processEndOfBody、processBodyErrorで実行する。

ReadableStreamDefaultReader オブジェクトreader、並列キューまたはグローバルオブジェクト taskDestination、アルゴリズムprocessBodyChunk、アルゴリズムprocessEndOfBody、アルゴリズムprocessBodyErrorを与えて逐次読み込みループを実行するには：

readRequestを次の読取リクエストとする：
chunk steps（chunkを与えて）
1. continueAlgorithmをnullとする。
2. chunkがUint8Array オブジェクトでなければ、continueAlgorithmを「processBodyErrorにTypeErrorを与えて実行する」に設定する。
3. それ以外の場合：
  1. bytesにchunkのコピーを格納する。
    
    実装側は可能な限りこのコピーを避ける戦略を推奨します。
  2. continueAlgorithmを次の手順に設定する：
    
    processBodyChunkにbytesを与えて実行する。
    
    逐次読み込みループをreader、taskDestination、processBodyChunk、processEndOfBody、processBodyErrorで実行する。
4. fetchタスクをキューでcontinueAlgorithmとtaskDestinationを与えて実行する。
close steps
1. fetchタスクをキューでprocessEndOfBodyとtaskDestinationを与えて実行する。
error steps（eを与えて）
1. fetchタスクをキューでprocessBodyErrorにeを与え、taskDestinationで実行する。
チャンクの読み取りをreaderにreadRequestを与えて実行する。

ボディ bodyを完全に読み込むには、アルゴリズムprocessBody、アルゴリズムprocessBodyError、および省略可能なnull/並列キューまたはグローバルオブジェクト taskDestination（デフォルトnull）を与えて、次の手順を実行します。processBodyはバイト列を受け取るアルゴリズム、processBodyErrorはオプションで例外を受け取るアルゴリズムでなければなりません。

taskDestinationがnullなら、新しい並列キューの開始の結果をtaskDestinationに設定する。
successStepsをバイト列 bytesを受け取り、 fetchタスクをキューでprocessBodyにbytesを与えtaskDestinationで実行する手順とする。
errorStepsを（オプションの例外 exceptionを受け取り） fetchタスクをキューでprocessBodyErrorにexceptionを与えtaskDestinationで実行する手順とする。
readerにbodyのストリームに対してリーダーの取得を実行した結果を格納する。例外が発生した場合、errorStepsをその例外で実行し終了する。
全バイトの読み取りをreaderでsuccessStepsとerrorStepsを与えて実行する。

型付きボディは、タプルであり、ボディ（ボディ）と型（ヘッダー値またはnull）から構成されます。

codingsとbytesを与えてコンテンツ符号化の処理を行うには、次の手順を実行します：

codingsがサポートされていなければ、bytesを返す。
HTTPの説明通りにcodingsでbytesをデコードした結果（エラーでなければ）を返し、デコードに失敗したらfailureを返す。[HTTP]

2.2.5. リクエスト

この節ではリクエストの詳細な動作を記述します。導入はリクエストのセットアップを参照してください。

fetchの入力はリクエストです。

リクエストには、関連付けられたメソッド（メソッド）があります。特に記載がない限り、`GET`です。

これはリダイレクト時にGETへ更新される場合があります。詳細はHTTP fetchを参照。

リクエストには、関連付けられたURL （URL）があります。

実装はこれをURLのリストの最初の要素へのポインタとしてもよいです。これはFetchにフックする他仕様の便宜のためだけに独立したフィールドとして提供されています。

リクエストには、関連付けられたローカルURLのみフラグがあります。特に記載がない限り、未設定です。

リクエストには、関連付けられたヘッダーリスト（ヘッダーリスト）があります。特に記載がない限り、« » です。

リクエストには、関連付けられたunsafe-requestフラグがあります。特に記載がない限り、未設定です。

unsafe-requestフラグは、 fetch()や XMLHttpRequest などのAPIによって設定され、指定されたメソッドやヘッダーリストに基づいて CORSプリフライトフェッチが確実に行われるようにします。ただし、APIが禁止メソッドや禁止リクエストヘッダーを認めない義務から解放されるわけではありません。

リクエストには、関連付けられたボディ（null、バイト列、またはボディ）があります。特に記載がない限り、nullです。

バイト列は、安全に抽出されて早い段階でボディになります。HTTP fetchの一部として、特定のリダイレクトでこのフィールドがnullになる場合があります。

リクエストには、関連付けられたクライアント（nullまたは環境設定オブジェクト）があります。

リクエストには、関連付けられた予約クライアント（null、環境、または環境設定オブジェクト）。特に記載がない限り、nullです。

これはナビゲーションリクエストやワーカーリクエストのみで使われ、サービスワーカリクエストでは使われません。ナビゲーションリクエストでは環境、ワーカーリクエストでは環境設定オブジェクトを参照します。

リクエストには、関連付けられたクライアント置換ID（文字列）があります。特に記載がない限り、空文字列です。

これはナビゲーションリクエストでのみ使われます。IDは、ターゲット閲覧コンテキストのアクティブドキュメントの環境設定オブジェクトのIDです。

リクエストには、関連付けられたユーザプロンプト用トラバーサブルがあり、 "no-traversable"、"client"、またはトラバーサブルナビゲーブルです。特に記載がない限り"client"です。

これは、認証プロンプトやクライアント証明書ダイアログなど、リクエストに関連するUIを表示するか、どこに表示するかを決定するために使われます。

"no-traversable": UIは表示されません。通常、このリクエストはネットワークエラーで失敗します。
"client": この値は、トラバーサブルナビゲーブルまたは"no-traversable"にfetch処理中に自動的に変更されます。これによって他の標準仕様が明示的に設定しなくても済みます。
トラバーサブルナビゲーブル: 表示されるUIは、そのトラバーサブルナビゲーブルを表示しているブラウザインターフェース要素に関連付けられます。

リクエストに関連するユーザーインターフェースをそのリクエストのユーザプロンプト用トラバーサブルで表示する場合、ユーザーエージェントはアドレスバーをリクエストの現在のURLに由来する値（例えば、リクエストの発起元のURLではなく）で更新すべきです。また、特にクロスオリジンリクエストの場合、ユーザーエージェントはプロンプトの背後にリクエストの発起元コンテンツを表示しないようにすべきです。このようなプロンプトの背後は空白ページにするのがよいでしょう。これらの指針に従わないと、どのオリジンがプロンプトの責任を持つのかユーザーが混乱します。

リクエストには、関連付けられたboolean型のkeepaliveがあります。特に記載がない限り、falseです。

これは、例えばnavigator.sendBeacon()やHTMLのimg要素のように、リクエストが環境設定オブジェクトより長寿命になることを許可するために使われます。これがtrueの場合、追加の処理要件が課されます。

リクエストには、関連付けられたinitiator typeがあり、null、"audio"、"beacon"、"body"、"css"、"early-hints"、"embed"、"fetch"、"font"、"frame"、"iframe"、"image"、"img"、"input"、"link"、"object"、"ping"、"script"、"track"、"video"、"xmlhttprequest"、"other"のいずれかです。特に記載がない限りnullです。[RESOURCE-TIMING]

リクエストには、関連付けられたservice-workersモードがあり、"all"または"none"です。特に記載がない限り、"all"です。

これは、このフェッチに対してどのサービスワーカーがfetchイベントを受け取るかを決定します。

"all": 関連するサービスワーカーはこのフェッチに対するfetchイベントを受け取ります。
"none": どのサービスワーカーもこのフェッチに対してイベントを受け取りません。

リクエストには、関連付けられたinitiatorがあり、空文字列、"download"、"imageset"、"manifest"、"prefetch"、"prerender"、または"xslt"のいずれかです。特に記載がない限り空文字列です。

リクエストのinitiatorは今のところあまり細かく分かれていません。他の仕様がそれを必要としていないためです。これは主にCSPや混在コンテンツを定義するための仕様上の補助的な属性です。JavaScriptには公開されません。[CSP] [MIX]

destination typeは、空文字列、"audio"、"audioworklet"、"document"、"embed"、"font"、"frame"、"iframe"、"image"、"json"、"manifest"、"object"、"paintworklet"、"report"、"script"、"serviceworker"、"sharedworker"、"style"、"track"、"video"、"webidentity"、"worker"、または"xslt"のいずれかです。

リクエストには、関連付けられたdestination（destination type）があります。特に記載がない限り空文字列です。

これらはRequestDestinationで反映されますが、"serviceworker"と"webidentity"は該当しません。これらのdestinationではサービスワーカーをスキップします。

リクエストのdestinationがscript-likeとなるのは、"audioworklet"、"paintworklet"、"script"、"serviceworker"、"sharedworker"、または"worker"の場合です。

script-likeを利用するアルゴリズムは、"xslt"もスクリプト実行の原因となり得るため考慮すべきです。ただし、常に該当するとは限らず異なる動作が必要な場合があるためリストには含まれていません。

次の表は、リクエストの initiator、destination、CSPディレクティブ、および各機能との関係を示しています。機能については網羅的ではありません。各機能は、それぞれの現行標準で関連値を定義する必要があります。

Initiator	Destination	CSPディレクティブ	機能
""	"`report`"	—	CSP、NELレポート
	"`document`"	—	HTMLのnavigateアルゴリズム（トップレベルのみ）
	"`frame`"	`child-src`	HTMLの`<frame>`
	"`iframe`"	`child-src`	HTMLの`<iframe>`
	""	`connect-src`	`navigator.sendBeacon()`、`EventSource`、 HTMLの`<a ping="">`および`<area ping="">`、 `fetch()`、`fetchLater()`、`XMLHttpRequest`、 `WebSocket`、 Cache API
	"`object`"	`object-src`	HTMLの`<object>`
	"`embed`"	`object-src`	HTMLの`<embed>`
	"`audio`"	`media-src`	HTMLの`<audio>`
	"`font`"	`font-src`	CSSの`@font-face`
	"`image`"	`img-src`	HTMLの`<img src>`、`/favicon.ico`リソース、 SVGの`<image>`、CSSの`background-image`、CSSの `cursor`、CSSの`list-style-image`、…
	"`audioworklet`"	`script-src`	`audioWorklet.addModule()`
	"`paintworklet`"	`script-src`	`CSS.paintWorklet.addModule()`
	"`script`"	`script-src`	HTMLの`<script>`、`importScripts()`
	"`serviceworker`"	`child-src`、`script-src`、`worker-src`	`navigator.serviceWorker.register()`
	"`sharedworker`"	`child-src`、`script-src`、`worker-src`	`SharedWorker`
	"`webidentity`"	`connect-src`	`Federated Credential Management requests`
	"`worker`"	`child-src`、`script-src`、`worker-src`	`Worker`
	"`json`"	`connect-src`	`import "..." with { type: "json" }`
	"`style`"	`style-src`	HTMLの`<link rel=stylesheet>`、CSSの`@import`、 `import "..." with { type: "css" }`
	"`track`"	`media-src`	HTMLの`<track>`
	"`video`"	`media-src`	HTMLの`<video>`要素
"`download`"	""	—	HTMLの`download=""`、"リンク先を名前を付けて保存…" UI
"`imageset`"	"`image`"	`img-src`	HTMLの`<img srcset>`や`<picture>`
"`manifest`"	"`manifest`"	`manifest-src`	HTMLの`<link rel=manifest>`
"`prefetch`"	""	`default-src`（特定ディレクティブなし）	HTMLの`<link rel=prefetch>`
"`prerender`"	""	`default-src`（特定ディレクティブなし）	HTMLの`<link rel=prerender>`
"`xslt`"	"`xslt`"	`script-src`	`<?xml-stylesheet>`

CSPのform-actionはHTMLのnavigateやフォーム送信アルゴリズムに直接フックする必要があります。

CSPはまた、リクエストのクライアントのグローバルオブジェクトの対応するDocumentの祖先ナビゲーブルも、さまざまなCSPディレクティブで確認する必要があります。

リクエストには、関連付けられた priorityがあり、"high"、"low"、"auto"のいずれかです。特に記載がない限り"auto"です。

リクエストには、関連付けられた内部priority（nullまたは実装依存オブジェクト）があります。特に記載がない限りnullです。

リクエストには、関連付けられた originがあり、 "client"またはオリジンです。特に記載がない限り"client"です。

"client"はオリジンにfetch処理中に変更されます。これにより、他の標準がリクエストのoriginを明示的に設定しなくても済みます。

リクエストには、関連付けられたトップレベルナビゲーションinitiatorのoriginがあり、オリジンまたはnullです。特に記載がない限りnullです。

リクエストには、関連付けられたポリシーコンテナがあり、 "client"またはポリシーコンテナです。特に記載がない限り"client"です。

"client"はポリシーコンテナにfetch処理中に変更されます。これにより、他の標準がリクエストのポリシーコンテナを明示的に設定しなくても済みます。

リクエストには、関連付けられた referrerがあり、 "no-referrer"、"client"またはURLです。特に記載がない限り "client"です。

"client"はfetch処理中に"no-referrer"またはURLに変更されます。これにより、他の標準がリクエストのreferrerを明示的に設定しなくても済みます。

リクエストには、関連付けられた referrer policyがあり、 referrer policyです。特に記載がない限り空文字列です。[REFERRER]

これは、このリクエストに使うreferrer policyを上書きするために使えます。

リクエストには、関連付けられた modeがあり、 "same-origin"、"cors"、"no-cors"、 "navigate"、または"websocket"です。特に記載がない限り "no-cors"です。

"same-origin": 同一オリジンのURLへのリクエストを保証するために使われます。fetchは、リクエストが同一オリジンURLでない場合、ネットワークエラーを返します。
"cors": レスポンスタインティングが"cors"に設定されるリクエストの場合、このリクエストをCORSリクエストとし、リソースがCORSプロトコルに対応しなかったり、意図的に不参加の場合はネットワークエラーを返します。
"no-cors": CORSセーフリストメソッドおよびCORSセーフリストリクエストヘッダーのみ利用可能に制限。成功時はopaque filtered responseを返します。
"navigate": これは、ドキュメントのナビゲーション時にのみ使われる特別なモードです。
"websocket": これは、WebSocket接続の確立時にのみ使われる特別なモードです。

デフォルトのリクエストのmodeは"no-cors"ですが、新しい機能ではこれを使わないことが強く推奨されます。これは非常に安全ではありません。

リクエストには、関連付けられた use-CORS-preflightフラグがあります。特に記載がない限り、未設定です。

use-CORS-preflightフラグが設定されている場合、CORSプリフライトリクエストとなる条件の一つです。このフラグは、XMLHttpRequestUpload オブジェクトに1つ以上のイベントリスナーが登録されている場合や、リクエストにReadableStream オブジェクトが使用されている場合に設定されます。

リクエストには、関連付けられた credentials modeがあり、 "omit"、"same-origin"、"include"のいずれかです。特に記載がない限り、"same-origin"です。

"omit": このリクエストから認証情報（credentials）を除外し、レスポンスで送信された認証情報も無視します。
"same-origin": 同一オリジンのURLへのリクエストには認証情報を含め、同一オリジンからのレスポンスの認証情報も利用します。
"include": 常にこのリクエストに認証情報を含め、レスポンスに含まれる認証情報も常に利用します。

リクエストのcredentials modeは、認証情報のfetch中の流れを制御します。リクエストのmodeが"navigate"の場合、そのcredentials modeは"include"とみなされ、fetchは現状他の値を考慮しません。HTML側の仕様変更があれば、この標準も対応が必要です。

リクエストには、関連付けられた use-URL-credentialsフラグがあります。特に記載がない限り、未設定です。

このフラグが設定されている場合、リクエストのURLにユーザー名とパスワードがあり、利用可能な認証エントリがある場合、URLの認証情報が認証エントリより優先されます。URLに認証情報を含めることは推奨されていないため、現行の仕様ではこのフラグを設定しないことが多いですが、互換性のため古い機能で設定される場合があります。

リクエストには、関連付けられた cache modeがあり、 "default"、"no-store"、"reload"、"no-cache"、"force-cache"、"only-if-cached"のいずれかです。特に記載がない限り"default"です。

"default": Fetchはネットワークに行く前にHTTPキャッシュを確認します。HTTPキャッシュに一致する新鮮なレスポンスがあればそれを返します。一致するstale-while-revalidateレスポンスがあればそれを返しつつ条件付きネットワークリクエストを送りキャッシュを更新します。一致する古いレスポンスがあれば条件付きネットワークリクエストを返します。それ以外は非条件付きネットワークリクエストを返します。[HTTP] [HTTP-CACHING] [STALE-WHILE-REVALIDATE]
"no-store": FetchはHTTPキャッシュがまったく存在しないかのように動作します。
"reload": Fetchはネットワークに行く前にHTTPキャッシュがないかのように動作します。つまり、通常のリクエストを作成し、レスポンスでHTTPキャッシュを更新します。
"no-cache": HTTPキャッシュにレスポンスがあれば条件付きリクエストを作成し、なければ通常のリクエストを作成します。その後レスポンスでHTTPキャッシュを更新します。
"force-cache": Fetchはリクエストに一致するHTTPキャッシュ内のレスポンスを鮮度に関係なく使用します。なければ通常のリクエストを作成し、レスポンスでキャッシュを更新します。
"only-if-cached": Fetchはリクエストに一致するHTTPキャッシュ内のレスポンスを鮮度に関係なく使用します。なければネットワークエラーを返します（このモードはリクエストのmodeが"same-origin"の場合のみ使用可能）。キャッシュされたリダイレクトはリクエストのredirect modeが"follow"で、そのリダイレクトがリクエストのmodeに違反しない場合にのみ追従されます。

ヘッダーリストが含む `If-Modified-Since`, `If-None-Match`, `If-Unmodified-Since`, `If-Match`, または `If-Range` のいずれかが含まれる場合、fetchは cache modeを"default"なら"no-store"に設定します。

リクエストには、関連付けられた redirect modeがあり、 "follow"、"error"、"manual"のいずれかです。特に記載がない限り"follow"です。

"follow": リソースのフェッチ時に発生したすべてのリダイレクトを追従します。
"error": リクエストがリダイレクトに遭遇した場合、ネットワークエラーを返します。
"manual": サービスワーカーがリダイレクトをオフラインで再現できるよう、リダイレクトに遭遇した際にopaque-redirect filtered responseを返します。それ以外はネットワークエラーと区別できません。atomic HTTPリダイレクト処理に違反しないようにしています。

リクエストには、関連付けられた integrity metadata （文字列）があります。特に記載がない限り、空文字列です。

リクエストには、関連付けられた暗号ノンスmetadata （文字列）があります。特に記載がない限り、空文字列です。

リクエストには、関連付けられたパーサmetadata （空文字列、"parser-inserted"、または"not-parser-inserted"）があります。特に記載がない限り、空文字列です。

リクエストの暗号ノンスmetadataおよびパーサmetadataは、通常、リクエストを生成したHTML要素の属性やフラグから設定されます。これらはContent Security Policyの様々なアルゴリズムで、リクエストやレスポンスが特定のコンテキストでブロックされるかどうかの判定に使われます。[CSP]

リクエストには、関連付けられた reload-navigationフラグがあります。特に記載がない限り、未設定です。

このフラグはHTMLのnavigateアルゴリズム専用です。[HTML]

リクエストには、関連付けられた history-navigationフラグがあります。特に記載がない限り、未設定です。

このフラグはHTMLのnavigateアルゴリズム専用です。[HTML]

リクエストには、関連付けられた boolean型のuser-activationがあります。特に記載がない限り、falseです。

これはHTMLのnavigateアルゴリズム専用です。[HTML]

リクエストには、関連付けられた boolean型のrender-blockingがあります。特に記載がない限り、falseです。

このフラグはHTMLのrender-blockingメカニズム専用です。[HTML]

リクエストには、関連付けられた URLリスト（URLのリスト）があります。特に記載がない限り、リクエストのURLのコピー1つを含むリストです。

リクエストには、関連付けられた現在のURLがあります。これはリクエストのURLリストの最後のURLを指します。

リクエストには、関連付けられたリダイレクトカウントがあります。特に記載がない限り、0です。

リクエストには、関連付けられたレスポンスタインティングがあり、 "basic"、"cors"、"opaque"のいずれかです。特に記載がない限り"basic"です。

リクエストには、関連付けられた prevent no-cache cache-control header modificationフラグがあります。特に記載がない限り、未設定です。

リクエストには、関連付けられた doneフラグがあります。特に記載がない限り、未設定です。

リクエストには、関連付けられた timing allow failedフラグがあります。特に記載がない限り、未設定です。

リクエストのURLリスト、現在のURL、リダイレクトカウント、レスポンスタインティング、doneフラグ、およびtiming allow failedフラグは、fetchアルゴリズムの帳簿管理用です。

サブリソースリクエストとは、リクエストであり、そのdestinationが"audio"、"audioworklet"、"font"、"image"、"json"、"manifest"、"paintworklet"、"script"、"style"、"track"、"video"、"xslt"または空文字列の場合です。

非サブリソースリクエストとは、リクエストであり、そのdestinationが"document"、"embed"、"frame"、"iframe"、"object"、"report"、"serviceworker"、"sharedworker"、または"worker"の場合です。

ナビゲーションリクエストとは、リクエストであり、そのdestinationが"document"、"embed"、"frame"、"iframe"、または"object"の場合です。

これらの用語の使われ方は、handle fetchを参照。[SW]

リクエスト requestのredirect-taintを計算するには、次の手順を実行します。返り値は"same-origin"、"same-site"、または"cross-site"です。

Assert: requestのoriginは"client"ではないこと。
lastURLをnullとする。
taintを"same-origin"とする。
各requestのURLリストのurlについて：
1. lastURLがnullなら、lastURLをurlとし、continue。
2. urlのoriginがlastURLのoriginとsame siteでなく、かつrequestのoriginもlastURLのsame siteでなければ、"cross-site"を返す。
3. urlのoriginがlastURLのoriginとsame originでなく、かつrequestのoriginもlastURLのsame originでなければ、taintを"same-site"とする。
4. lastURLをurlとする。
taintを返す。

request requestに対してリクエストoriginの直列化を行うには、次の手順を実行します：

Assert: requestのoriginは"client"ではないこと。
requestのredirect-taintが"same-origin"でなければ、"null"を返す。
requestのoriginを直列化して返す。

request requestに対してリクエストoriginのバイト直列化を行うには、リクエストoriginの直列化の結果をisomorphic encodeしたものを返す。

リクエスト requestを複製するには、次の手順を実行します：

newRequestをrequestのコピー（ただしbodyは除く）とする。
requestのbodyがnullでなければ、newRequestのbodyに複製したrequestのbodyを設定する。
newRequestを返す。

リクエスト requestに整数first、オプションで整数lastを与えてRangeヘッダーを追加するには、次の手順を実行します：

Assert: lastが与えられていないか、firstがlast以下であること。
rangeValueを`bytes=`とする。
直列化し、isomorphic encodeしたfirstをrangeValueに追加する。
0x2D (-) をrangeValueに追加する。
lastが与えられていれば、それを直列化してisomorphic encodeした結果をrangeValueに追加する。
追加（`Range`、rangeValue）をrequestのヘッダーリストに行う。

Rangeヘッダーはバイト範囲（両端を含む）を表します。たとえば、firstが0、lastが500の場合、501バイトの範囲になります。

複数のレスポンスを1つの論理リソースに結合する機能は、歴史的にセキュリティバグの原因となってきました。部分レスポンスを扱う機能を設計する場合は、必ずセキュリティレビューを受けてください。

response responseに対して報告用レスポンスURLの直列化を行うには、次の手順を実行します：

Assert: responseのURLリストは空でないこと。
urlをresponseのURLリスト[0]のコピーとする。

これはresponseのURLではありません。リダイレクト先の情報漏えいを防ぐためです（CSP報告の同様の考慮事項も参照）。[CSP]
ユーザー名を空文字列に設定する（urlに対して）。
パスワードを空文字列に設定する（urlに対して）。
直列化したurlを、フラグメント除外をtrueにして返す。

request requestに対してCross-Origin-Embedder-Policyが認証情報を許可するか確認するには、次の手順を実行します：

Assert: requestのoriginは"client"ではないこと。
requestのmodeが"no-cors"でなければtrueを返す。
requestのclientがnullであればtrueを返す。
requestのclientのポリシーコンテナのembedder policyの値が"credentialless"でなければtrueを返す。
requestのoriginがrequestの現在のURLのoriginとsame originであり、かつrequestのredirect-taintが"same-origin"でなければtrueを返す。
falseを返す。

2.2.6. レスポンス

fetchの結果はレスポンスです。レスポンスは時間とともに変化します。つまり、すべてのフィールドがすぐに利用できるとは限りません。

レスポンスには、関連付けられたtypeがあります。 "basic"、 "cors"、 "default"、 "error"、 "opaque"、または "opaqueredirect"。特に記載がない限り、"default"です。

レスポンスには、関連付けられたabortedフラグがあります。初期値は未設定です。

これはリクエストが開発者またはエンドユーザーによって意図的に中断されたことを示します。

レスポンスには、関連付けられたURLがあります。これはURLのリストの最後の要素を指します。レスポンスのURLリストが空の場合はnullです。

レスポンスには、関連付けられたURLリスト（URLのリスト、0個以上）があります。特に記載がない限り、« »です。

1つ目と最後のURL以外は、レスポンスのURLリストはスクリプトに直接公開されません。これはアトミックなHTTPリダイレクト処理に反するからです。

レスポンスには、関連付けられたstatus（ステータス）があります。特に記載がない限り200です。

レスポンスには、関連付けられたstatus messageがあります。特に記載がない限り、空のバイト列です。

HTTP/2接続上のレスポンスは常に空のバイト列をstatus messageとします。HTTP/2ではサポートされていません。

レスポンスには、関連付けられたヘッダーリスト（ヘッダーリスト）があります。特に記載がない限り、« »です。

レスポンスには、関連付けられたボディ（nullまたはボディ）があります。特に記載がない限り、nullです。

ネットワーク由来のレスポンスのボディについては、sourceおよびlengthの概念は常にnullです。

レスポンスには、関連付けられたキャッシュ状態（空文字列、"local"、"validated"）があります。特に記載がない限り空文字列です。

これはService WorkersやResource Timingで使われます。[SW][RESOURCE-TIMING]

レスポンスには、関連付けられたCORS公開ヘッダー名リスト（0個以上のヘッダーの名前のリスト）があります。特に記載がない限り空です。

レスポンスのCORS公開ヘッダー名リストは通常、`Access-Control-Expose-Headers`ヘッダーからヘッダー値を抽出して設定されます。このリストはCORSフィルタ済みレスポンスが公開するヘッダーを決定するのに使われます。

レスポンスには、関連付けられたrange-requestedフラグがあります。初期値は未設定です。

これは、事前の範囲リクエストによる部分レスポンスが、範囲リクエストを行っていないAPIに提供されるのを防ぐために使われます。攻撃の詳細な説明についてはフラグの使われ方を参照してください。

レスポンスには、関連付けられたrequest-includes-credentials （boolean型）があります。初期値はtrueです。

レスポンスには、関連付けられたtiming allow passedフラグがあります。初期値は未設定です。

これはfetchの呼び出し元が、取得したリソースに対してセンシティブなタイミングデータが許可されているかをレスポンスのフラグで判定できるようにするためです。リダイレクトチェーン上の前のレスポンスでこのフラグが設定されていた場合、リダイレクトされたレスポンスにも引き継がれるため、リクエストのtiming allow failedフラグでも内部追跡されます。

レスポンスには、関連付けられたbody info （response body info）があります。特に記載がない限り、新しいresponse body infoです。

レスポンスには、関連付けられたservice worker timing info（nullまたはservice worker timing info）があります。初期値はnullです。

レスポンスには、関連付けられたredirect taint （"same-origin"、"same-site"、"cross-site"）があります。初期値は"same-origin"です。

ネットワークエラーとは、レスポンスであり、そのtypeが"error"、statusが0、status messageが空のバイト列、ヘッダーリストが« »、ボディがnull、body infoが新しいresponse body infoであるものです。

中断されたネットワークエラーとは、ネットワークエラーであって、abortedフラグが設定されているものです。

fetch params fetchParamsを与えて適切なネットワークエラーを作るには：

Assert: fetchParamsがcanceledであること。
fetchParamsがabortedなら中断されたネットワークエラーを、それ以外ならネットワークエラーを返す。

フィルタ済みレスポンスとは、関連付けられたレスポンスへの限定的なビューを提供するレスポンスです。この関連するレスポンスは、フィルタ済みレスポンスの内部レスポンス（ネットワークエラーやフィルタ済みレスポンスでないレスポンス）としてアクセスできます。

特に記載がない限り、フィルタ済みレスポンスの各概念（例：ボディ）は、内部レスポンスの対応する概念を参照します（例外はこの後、フィルタ済みレスポンスの具体的な型の定義部分で記載）。

fetchアルゴリズムは、processResponseや同等のパラメータを通じて、呼び出し元にフィルタ済みレスポンスを公開し、情報が誤って漏れないようにしています。レガシー理由で情報を公開する必要がある場合（例：デコーダーに画像データを渡す）、内部レスポンスを仕様アルゴリズムで利用できます。

新しい仕様では、opaqueフィルタ済みレスポンスやopaque-redirectフィルタ済みレスポンスを拡張しないようにしてください。これらはレガシーな構造であり、現代のコンピュータアーキテクチャにおいて十分に保護できるとは限りません。

basicフィルタ済みレスポンスは、フィルタ済みレスポンスであり、typeが"basic"で、内部レスポンスのヘッダーリストに含まれるヘッダーのうち、禁止レスポンスヘッダー名であるものを除外したものです。

CORSフィルタ済みレスポンスは、フィルタ済みレスポンスであり、typeが"cors"で、内部レスポンスのヘッダーリストに含まれるヘッダーのうち、CORSセーフリストレスポンスヘッダー名（内部レスポンスのCORS公開ヘッダー名リストを与える）でないものを除外したものです。

opaqueフィルタ済みレスポンスは、フィルタ済みレスポンスであり、typeが"opaque"、URLリストが« »、statusが0、status messageが空のバイト列、ヘッダーリストが« »、ボディがnull、body infoが新しいresponse body infoです。

opaque-redirectフィルタ済みレスポンスは、フィルタ済みレスポンスであって、 typeが"opaqueredirect"、 statusが0、 status messageが空のバイト列、ヘッダーリストが« »、ボディがnull、そして body infoが新しい response body info であるものです。

URLリストを opaque-redirectフィルタ済みレスポンスで公開しても、リダイレクトは辿られないため問題ありません。

言い換えると、opaqueフィルタ済みレスポンスと opaque-redirectフィルタ済みレスポンスはネットワークエラーとほとんど区別がつきません。新しいAPIを導入する際は、内部レスポンスを内部仕様アルゴリズムで使わないでください。情報漏えいにつながります。

これはまた、response.okのようなJavaScript APIの結果がほとんど役に立たないことも意味します。

typeはレスポンスの type getterを通じてスクリプトに公開されます：

console.log(new Response().type); // "default"

console.log((await fetch("/")).type); // "basic"

console.log((await fetch("https://api.example/status")).type); // "cors"

console.log((await fetch("https://crossorigin.example/image", { mode: "no-cors" })).type); // "opaque"

console.log((await fetch("/surprise-me", { redirect: "manual" })).type); // "opaqueredirect"

（これは各リソースが存在し、https://api.example/statusが適切なCORSヘッダーを持ち、/surprise-meがリダイレクトステータスを使用していることを前提とします。）

レスポンス responseを複製するには、次の手順を実行します：

responseがフィルタ済みレスポンスであれば、内部レスポンスがresponseの内部レスポンスの複製である、新しい同一のフィルタ済みレスポンスを返す。
newResponseをresponseのコピー（ただしボディを除く）とする。
responseのボディがnullでなければ、newResponseのボディに複製したresponseのボディを設定する。
newResponseを返す。

新鮮なレスポンスは、レスポンスであって、現在エージが、その鮮度寿命以内であるものです。

stale-while-revalidateレスポンスは、レスポンスであって、新鮮なレスポンスでなく、現在エージが stale-while-revalidate寿命以内であるものです。 [HTTP-CACHING] [STALE-WHILE-REVALIDATE]

古いレスポンスは、レスポンスであって、新鮮なレスポンスでも stale-while-revalidateレスポンスでもないものです。

レスポンス responseの location URLは、 nullまたはASCII文字列 requestFragmentを与えて、次の手順で決定されます。返り値はnull・failure・またはURLです。

responseのstatusがリダイレクトステータスでなければnullを返す。
locationをヘッダーリスト値を抽出（`Location`・responseのヘッダーリスト）の結果とする。
locationがヘッダー値なら、 locationをパース（location・responseのURL）の結果に置き換える。

responseがResponseコンストラクターで生成された場合、 responseのURLはnullとなるため、 locationは絶対URL+フラグメント文字列でなければパースに成功しません。
locationがURLで、そのfragmentがnullなら、 locationのfragmentにrequestFragmentを設定する。

これにより、合成レスポンス（実際には全てのレスポンス）がHTTPで定義されるリダイレクトの処理モデルに従うことが保証されます。[HTTP]
locationを返す。

location URLアルゴリズムは、この標準と、リダイレクトを手動で処理するHTMLのnavigateアルゴリズム専用です。[HTML]

2.2.7. その他

潜在的なdestinationは、"fetch"または空文字列でないdestinationです。

潜在的なdestination potentialDestinationを変換するには、次の手順を実行します：

potentialDestinationが"fetch"なら空文字列を返す。
Assert: potentialDestinationはdestinationであること。
potentialDestinationを返す。

2.3. 認証エントリ

認証エントリおよびプロキシ認証エントリは、ユーザー名・パスワード・レルムからなるタプルであり、HTTP認証およびHTTPプロキシ認証に使われ、1つ以上のリクエストに関連付けられます。

ユーザーエージェントは、認証エントリとHTTPクッキーや同様のトラッキング機能を一括してクリアできるようにすべきです。

詳細はHTTPで定義されています。[HTTP] [HTTP-CACHING]

2.4. Fetchグループ

各環境設定オブジェクトには、関連付けられたfetchグループがあり、fetchグループを保持します。

fetchグループは、fetchに関する情報を保持します。

fetchグループには次が関連付けられています：

fetchレコード: fetchレコードのリスト。
遅延fetchレコード: 遅延fetchレコードのリスト。

fetchレコードは、次の構造体の項目を持ちます：

request: リクエスト。
controller: fetchコントローラーまたはnull。

遅延fetchレコードは、後でfetchを呼び出すための状態を保持する構造体であり、例えばドキュメントがunloadされた場合や完全にアクティブでなくなった場合などに使われます。次の項目を持ちます：

request: リクエスト。
notify invoked: 引数なしアルゴリズム。
invoke state（初期値"pending"）: "pending"、"sent"、または"aborted"。

フェッチグループ fetchGroupが終了された場合：

各 fetchレコード recordについて、 fetchGroupのfetchレコードのうち、 recordのcontrollerがnullでなく、 recordのrequestのdoneフラグが未設定で、 keepaliveがfalseの場合、 terminate recordの controller。
遅延fetchを処理する（fetchGroupに対して）。

2.5. ドメインの解決

ネットワークパーティションキー keyとオリジン originを与えてオリジンを解決するには、次の手順を実行します：

originのhostがIPアドレスであれば、 « originのhost » を返す。
originのhostのパブリックスフィックスが"localhost"または"localhost."であれば、 « ::1, 127.0.0.1 » を返す。
originを1つ以上のIPアドレスの集合に変換する実装依存の操作を行う。

他にも、IPアドレス以外の接続情報を取得するために他の操作を行うかどうかも実装依存です。例えば、 originのスキームが HTTP(S)スキームの場合、実装はHTTPS RRのためのDNSクエリを行うかもしれません。[SVCB]

この操作が成功した場合、IPアドレスの集合および追加の実装依存情報を返す。
failureを返す。

オリジンを解決するの結果はキャッシュしてもよい。キャッシュする場合はkeyをキャッシュキーの一部として用いるべきである。

通常この操作はDNSを伴い、DNSサーバー側でkeyを考慮せずキャッシュされる場合があります。実装によってはローカルでkeyを考慮することもできない場合があります。[RFC1035]

IPアドレスの順序は、オリジンを解決するアルゴリズムの呼び出しごとに異なる場合があります。

（キャッシュキー以外の）詳細は、Fetch標準が定めるシステムに直接関係しないため拘束されません。他の文書がこのプリミティブに依存して拡張する場合は、まずFetch標準コミュニティと十分に議論するべきです。

2.6. コネクション

ユーザーエージェントは、関連付けられたコネクションプールを持ちます。コネクションプールは、 0個以上の順序付き集合としてのコネクションです。各コネクションは、関連付けられたキー（ネットワークパーティションキー）、オリジン（オリジン）、および認証情報（boolean）で識別されます。

各コネクションは、関連付けられたタイミング情報（コネクションタイミング情報）を持ちます。

コネクションタイミング情報は、コネクション取得処理に関するタイミング情報を保持するための構造体です。以下の項目があります：

ドメインルックアップ開始時刻（初期値0）
ドメインルックアップ終了時刻（初期値0）
コネクション開始時刻（初期値0）
コネクション終了時刻（初期値0）
セキュアコネクション開始時刻（初期値0）: DOMHighResTimeStamp。
ALPNネゴシエートプロトコル（初期値：空のバイト列）: バイト列。

コネクションタイミング情報のclampおよびcoarsenを行うには、コネクションタイミング情報 timingInfo、 DOMHighResTimeStamp defaultStartTime、boolean crossOriginIsolatedCapabilityを与えて次の手順を実行する：

timingInfoのコネクション開始時刻が defaultStartTimeより小さければ、新しいコネクションタイミング情報を返す（全ての時刻がdefaultStartTime、ALPNネゴシエートプロトコルはtimingInfoの値）。
新しいコネクションタイミング情報を返す（各時刻はcoarsen timeの結果、ALPNネゴシエートプロトコルはtimingInfoの値）。

新規コネクション設定は、"no"、"yes"、"yes-and-dedicated"のいずれかです。

コネクションを取得するには、ネットワークパーティションキー key、 URL url、 boolean credentials、任意の新規コネクション設定 new（初期値"no"）、任意のboolean requireUnreliable（初期値false）を与え、次の手順を実行する：

newが"no"なら：
1. connectionsをユーザーエージェントのコネクションプール内の、キーがkey、オリジンがurlのオリジン、認証情報がcredentialsであるコネクションの集合とする。
2. connectionsが空でなく、requireUnreliableがfalseなら、その中の1つを返す。
3. connections内に、例えばHTTP/3など、unreliable transport対応のコネクションがあれば、それを返す。
proxiesを実装依存の方法でurlのプロキシとして探索した結果とする。なければ« "DIRECT" »とする。

ここで非標準技術（WPADやPAC）が使われる可能性があります。"DIRECT"は、このurlでプロキシを使わないことを意味します。
timingInfoを新しいコネクションタイミング情報とする。
各proxiesのproxyについて：
1. timingInfoのドメインルックアップ開始時刻をunsafe shared current timeに設定する。
2. hostsを« urlのオリジンのhost »とする。
3. proxyが"DIRECT"なら、hostsをkeyとurlのオリジンを与えてオリジンを解決するの結果に設定する。
4. hostsがfailureなら、continue。
5. timingInfoのドメインルックアップ終了時刻を unsafe shared current timeに設定する。
6. connectionを、以下の手順で得られた結果とする：コネクション作成に、key、urlのオリジン、credentials、proxy、hostsから実装依存で選択したhost、timingInfo、requireUnreliableを与え、実装依存の回数だけ並列で実行し、少なくとも1つの値を待つ。実装依存で返す値を選び、それを返す。他の値（コネクション）は閉じてよい。
  
  本質的には、オリジンを解決する（proxyが"DIRECT"の場合）から返された複数のIPアドレスを競わせたり、IPv6優先したり、タイムアウトで再試行したりできることを意味します。
7. connectionがfailureなら、continue。
8. newが"yes-and-dedicated"でなければ、 append connectionをユーザーエージェントのコネクションプールに追加する。
9. connectionを返す。
failureを返す。

コネクション管理には多くの微妙な点があるため、詳細は実装者の裁量に任せています。これを記述することで、<link rel=preconnect>やコネクションが認証情報でキーされることを明確にできます。例えば、TLSセッションIDは認証情報がfalseのコネクションとtrueのコネクション間で再利用されません。

コネクション作成は、ネットワークパーティションキー key、オリジン origin、 boolean credentials、string proxy、 host host、コネクションタイミング情報 timingInfo、 boolean requireUnreliableを与え、次の手順を実行する：

timingInfoのコネクション開始時刻を unsafe shared current timeに設定する。
connectionを新しいコネクションとし、キーにkey、オリジンにorigin、認証情報にcredentials、タイミング情報にtimingInfoを持たせる。コネクションタイミング情報記録を行い、 connectionを使ってhostにHTTPコネクションを確立する（proxy、originを考慮）。以下の注意点あり： [HTTP] [HTTP1] [TLS]
- requireUnreliableがtrueなら、unreliable transport対応（例：HTTP/3）のコネクションを確立する。[HTTP3]
- unreliable transport対応コネクションの場合、WebTransport用オプション（HTTP/3の場合、SETTINGS_ENABLE_WEBTRANSPORTを1・H3_DATAGRAMを1で初期SETTINGSフレームに含める）を有効化する。[WEBTRANSPORT-HTTP3] [HTTP3-DATAGRAM]
- credentialsがfalseなら、TLSクライアント証明書を送信しない。
- コネクション確立に失敗した場合（UDP/TCP/TLSエラー等）は、failureを返す。
timingInfoのALPNネゴシエートプロトコルを connectionのALPN Protocol IDに設定する。以下の注意点あり：[RFC7301]
- プロキシ利用時は、トンネルが確立されていればそのプロトコルのALPN Protocol ID、そうでなければ最初のプロキシへのALPN Protocol IDとする。
- 実験的・非登録プロトコルの場合、利用したALPN Protocol ID（あれば）を使う。ALPNを使っていない場合は別の説明的な文字列でもよい。
  
  timingInfoのALPNネゴシエートプロトコルは、実際のネゴシエーション方法に関わらず利用中のネットワークプロトコルを識別するためのものです。
IANAはALPN Protocol IDのリストを管理しています。
connectionを返す。

コネクションタイミング情報記録は、コネクション connectionを受け取り、 timingInfoをconnectionのタイミング情報として次を満たすこと：

timingInfoのコネクション終了時刻は、サーバやプロキシへのコネクション確立直後に unsafe shared current timeとする。詳細：
- 返される時刻には、トランスポートコネクション確立にかかる時間やSOCKS認証等の時間も含めること。TLSハンドシェイクのリソース要求可能になるまでの時間も含めること。
- TLS False Start利用時は、サーバのFinishedメッセージ受信までの時間は含めないこと。[RFC7918]
- 早期データでリクエスト送信時は、サーバのServerHello受信までの時間は含めないこと。[RFC8470]
- リクエスト送信時にハンドシェイク完了を待つ場合は、早期データ利用の他リクエストが同一コネクションであってもTLSハンドシェイク全体を含めること。
たとえば、ユーザーエージェントがTLS 1.3でHTTP/2コネクションを確立しGETとPOSTを送信した場合、ClientHello送信時刻をt1、GETはearly dataで送信、POSTは安全でないため（[HTTP] 9.2.1）、t2でハンドシェイク完了まで待つと、同一コネクションでもGETはt1、POSTはt2をコネクション終了時刻として報告します。
セキュアなトランスポートを使う場合、timingInfoのセキュアコネクション開始時刻は、 connectionをセキュア化するハンドシェイク直前の unsafe shared current timeとする。[TLS]
connectionがHTTP/3コネクションの場合、timingInfoのコネクション開始時刻とセキュアコネクション開始時刻は等しいこと（HTTP/3ではコネクション確立時にセキュアハンドシェイクも同時に行う）。[HTTP3]

コネクションタイミング情報のclampおよびcoarsenアルゴリズムは、再利用コネクションの詳細やタイム値の丸めを保証します。

2.7. ネットワークパーティションキー

ネットワークパーティションキーは、サイトと、nullまたは実装依存の値からなるタプルです。

environment environmentを与え、ネットワークパーティションキーを決定するには、次の手順を実行します：

topLevelOriginをenvironmentのトップレベルオリジンとする。
topLevelOriginがnullなら、topLevelOriginをenvironmentのトップレベル生成URLのオリジンとする。
Assert: topLevelOriginはオリジンである。
topLevelSiteをtopLevelOriginを与えてサイト取得の結果とする。
secondKeyをnullまたは実装依存の値とする。

second keyは意図的に曖昧にされています。詳細は今後詰められます。issue #1035参照。
(topLevelSite, secondKey)を返す。

request requestを与え、ネットワークパーティションキーを決定するには、次の手順を実行します：

requestのreserved clientがnullでなければ、 requestのreserved clientを与えてネットワークパーティションキーを決定するの結果を返す。
requestのclientがnullでなければ、 requestのclientを与えてネットワークパーティションキーを決定するの結果を返す。
nullを返す。

2.8. HTTPキャッシュパーティション

HTTPキャッシュパーティションを決定するには、リクエスト requestを与えて次の手順を実行する：

keyをrequestを与えてネットワークパーティションキーを決定するの結果とする。
keyがnullならnullを返す。
keyに関連付けられた一意なHTTPキャッシュを返す。[HTTP-CACHING]

2.9. ポートブロッキング

新しいプロトコルは、TLSを用いたALPNでプロトコルをネゴシエートすることで、ポートブロックの必要性を回避できます。その場合、プロトコルはHTTPリクエストを通して偽装されることはありません。 [RFC7301]

リクエスト requestについて悪いポートによるブロックが必要か判定するには：

urlをrequestの現在のURLとする。
urlのスキームがHTTP(S)スキームであり、かつurlのポートが悪いポートであれば、blockedを返す。
allowedを返す。

ポートが次の表の最初の列に記載されている場合、悪いポートです。

ポート	主なサービス
0	—
1	tcpmux
7	echo
9	discard
11	systat
13	daytime
15	netstat
17	qotd
19	chargen
20	ftp-data
21	ftp
22	ssh
23	telnet
25	smtp
37	time
42	name
43	nicname
53	domain
69	tftp
77	—
79	finger
87	—
95	supdup
101	hostname
102	iso-tsap
103	gppitnp
104	acr-nema
109	pop2
110	pop3
111	sunrpc
113	auth
115	sftp
117	uucp-path
119	nntp
123	ntp
135	epmap
137	netbios-ns
139	netbios-ssn
143	imap
161	snmp
179	bgp
389	ldap
427	svrloc
465	submissions
512	exec
513	login
514	shell
515	printer
526	tempo
530	courier
531	chat
532	netnews
540	uucp
548	afp
554	rtsp
556	remotefs
563	nntps
587	submission
601	syslog-conn
636	ldaps
989	ftps-data
990	ftps
993	imaps
995	pop3s
1719	h323gatestat
1720	h323hostcall
1723	pptp
2049	nfs
3659	apple-sasl
4045	npp
4190	sieve
5060	sip
5061	sips
6000	x11
6566	sane-port
6665	ircu
6666	ircu
6667	ircu
6668	ircu
6669	ircu
6679	osaut
6697	ircs-u
10080	amanda

2.10. `response`を`request`へのレスポンスとしてMIMEタイプのためにブロックすべきか？

次の手順を実行する：

mimeTypeを、responseのヘッダーリストからMIMEタイプ抽出した結果とする。
mimeTypeがfailureなら、allowedを返す。
destinationをrequestのdestinationとする。
destinationがスクリプト系で、以下のいずれかが真ならblockedを返す：
- mimeTypeのエッセンスが"audio/"、"image/"、"video/"で始まる。
- mimeTypeのエッセンスが"text/csv"である。
allowedを返す。

3. HTTP拡張

3.1. Cookie

`Cookie`リクエストヘッダーおよび`Set-Cookie`レスポンスヘッダーは主にそれぞれの仕様で定義されています。ここでは、それらを便利に利用できるよう補助的なインフラを定義します。[COOKIES]。

リクエスト`Cookie`ヘッダーを付加するには、リクエスト requestを与えて、次の手順を実行する：

ユーザーエージェントがrequestについてCookieを無効化している場合、何もせず戻る。
sameSiteをrequestに対してsame-siteモードを決定するの結果とする。
isSecureをrequestの現在のURLのスキームが"https"ならtrue、そうでなければfalseとする。
httpOnlyAllowedをtrueとする。

これはfetchから呼ばれるためtrueとなる。たとえばdocument.cookieのgetter手順とは異なる。
cookiesをisSecure、requestの現在のURLのホスト、requestの現在のURLのパス、httpOnlyAllowed、sameSiteを与えてCookie取得の結果とする。

Cookieストアは順序付きのCookieリストを返す。
cookiesが空であれば、何もせず戻る。
valueをcookiesを与えてCookie直列化の結果とする。
追加 (`Cookie`, value) を request のヘッダーリストに追加する。

レスポンス`Set-Cookie`ヘッダーの解析および保存は、リクエスト requestとレスポンス responseを与えて、次の手順を実行する：

ユーザーエージェントがrequestについてCookieを無効化している場合、何もせず戻る。
allowNonHostOnlyCookieForPublicSuffixをfalseとする。
isSecureをrequestの現在のURLのスキームが"https"ならtrue、そうでなければfalseとする。
httpOnlyAllowedをtrueとする。

これはfetchから呼ばれるためtrueとなる。たとえばdocument.cookieのgetter手順とは異なる。
sameSiteStrictOrLaxAllowedを、requestに対してsame-siteモードを決定するの結果が"strict-or-less"ならtrue、そうでなければfalseとする。
各 header をresponseのヘッダーリストから順に処理する：
1. headerの名前がSet-Cookieとバイト単位で大文字小文字を区別せず一致しなければ、continue。
2. Cookieの解析および保存をheaderの値、isSecure、requestの現在のURLのホスト、requestの現在のURLのパス、httpOnlyAllowed、allowNonHostOnlyCookieForPublicSuffix、sameSiteStrictOrLaxAllowedを与えて実行する。
3. Cookieのガベージコレクトをrequestの現在のURLのホストを与えて実行する。
他の場所でも指摘されているとおり、`Set-Cookie`ヘッダーは結合できず、各出現ごとに個別に処理される。他のヘッダーではこれは許可されない。

same-siteモードを決定するには、リクエスト requestを与えて次の手順を実行する：

Assert: requestのメソッドが"GET" または"POST"である。
requestのトップレベルナビゲーションイニシエータオリジンがnullでなく、かつrequestのURLのオリジンとsame siteでなければ、"unset-or-less"を返す。
requestのメソッドが"GET"かつ requestのdestinationが"document"なら、"lax-or-less"を返す。
requestのclientのcross-site ancestorを持つがtrueなら、"unset-or-less"を返す。
requestのredirect-taintが"cross-site"なら、"unset-or-less"を返す。
"strict-or-less"を返す。

シリアライズされたCookieデフォルトパスを、URL urlから取得するには、以下を行う：

cloneURLをurlのクローンとして作成する。
cloneURLのパスを、Cookieデフォルトパス（cloneURLのパスの）に設定する。
cloneURLのURLパスのシリアライズを返す。

3.2. ``Origin`` ヘッダー

`Origin`リクエストヘッダーは、 fetchがどこから発生したかを示します。

`Origin`ヘッダーは、パスを公開しない`Referer` [sic] ヘッダーのバージョンです。 HTTPフェッチで、リクエストのレスポンステインティングが"cors"の場合や、リクエストのメソッドが`GET`または`HEAD`以外の場合に利用されます。互換性上の理由から、すべてのfetchに含まれるわけではありません。

その値としては、リクエストオリジンのバイト列シリアライズ（リクエストを与える）で得られるすべての値が許可されます。

これはThe Web Origin Conceptの定義に取って代わります。[ORIGIN]

リクエスト`Origin`ヘッダーを付加するには、リクエスト requestを与えて次の手順を実行する：

Assert: requestのoriginは"client"でない。
serializedOriginを、requestを与えてリクエストオリジンのバイト列シリアライズの結果とする。
もし request のレスポンステインティングが "cors" または request のモードが "websocket" の場合、追加 (`Origin`, serializedOrigin) を request のヘッダーリストに追加する。
さもなければ、requestのメソッドが`GET`でも`HEAD`でもない場合：
1. requestのmodeが"cors"でなければ、 requestのreferrer policyに応じて次を行う：
  
  "no-referrer"
  
  serializedOriginを`null`に設定する。
  
  "no-referrer-when-downgrade"
  "strict-origin"
  "strict-origin-when-cross-origin"
  
  requestのoriginがタプルオリジンで、そのschemeが"https"、かつrequestの現在のURLのschemeが"https"でなければ serializedOriginを`null`に設定する。
  
  "same-origin"
  
  requestのoriginが requestの現在のURLのオリジンと同一オリジンでなければ serializedOriginを`null`に設定する。
  
  その他
  何もしない。
2. 追加 (`Origin`, serializedOrigin) を request のヘッダーリストに追加する。

リクエストのreferrer policyは、フェッチャーがサーバーとオリジンを共有することを明示的に選択していないすべてのfetchで考慮されます（例：CORSプロトコルの利用）。

3.3. CORSプロトコル

レスポンスをオリジン間で共有し、HTMLの form 要素よりも多様なfetchを可能にするために、CORSプロトコルが存在します。これはHTTPの上にレイヤー化されており、レスポンスが他のオリジンと共有できることを宣言できます。

これはファイアウォール（イントラネット）内のレスポンスからデータが漏洩するのを防ぐため、オプトインの仕組みである必要があります。また、リクエストに認証情報が含まれる場合も、機密データ漏洩防止のためオプトインが必要です。

この節はサーバー開発者向けにCORSプロトコルを説明します。ユーザーエージェントの要件はfetchアルゴリズムの一部ですが、新しいHTTPヘッダー構文を除きます。

3.3.1. 一般

CORSプロトコルは、レスポンスがオリジン間で共有できるかどうかを示す一連のヘッダーから成ります。

HTMLの form 要素で可能なものよりも複雑なリクエストの場合、 CORSプリフライトリクエストが実行され、リクエストの現在のURLがCORSプロトコルに対応しているか確認されます。

3.3.2. HTTPリクエスト

CORSリクエストとは、`Origin`ヘッダーを含むHTTPリクエストです。ただし、CORSプロトコルに参加しているかどうかは確実には判別できません。なぜなら、`Origin`ヘッダーはリクエストのメソッドが`GET`または`HEAD`以外の時も常に含まれるためです。

CORSプリフライトリクエストは、CORSリクエストのうち、 CORSプロトコルが理解されているか確認するためのものです。これはOPTIONSをメソッドとして使い、次のヘッダーを含みます：

`Access-Control-Request-Method`: 将来のCORSリクエストがそのリソースに対して使用するであろうメソッドを示す。

CORSプリフライトリクエストは、次のヘッダーも含むことがあります：

`Access-Control-Request-Headers`: 将来のCORSリクエストがそのリソースに対して使用するであろうヘッダーを示す。

3.3.3. HTTPレスポンス

CORSリクエストへのHTTPレスポンスには、以下のヘッダーを含めることができます：

`Access-Control-Allow-Origin`

レスポンスが共有可能かどうかを示します。リクエストの`Origin`ヘッダーのリテラル値（`null`も含む）または`*`をレスポンスで返すことができます。

`Access-Control-Allow-Credentials`

リクエストの認証情報モードが"include"の場合にレスポンスが共有可能かどうかを示します。

CORSプリフライトリクエストの場合、リクエストの認証情報モードは常に"same-origin"（認証情報は含まれない）ですが、その後のCORSリクエストではそうとは限りません。そのため、このサポートはCORSプリフライトリクエストへのHTTPレスポンスにも明示する必要があります。

CORSプリフライトリクエストへのHTTPレスポンスには、以下のヘッダーを含めることができます：

`Access-Control-Allow-Methods`

CORSプロトコルの目的で、レスポンスの URLがサポートするメソッドを示します。

`Allow`ヘッダーは、CORSプロトコルの目的には関係ありません。

`Access-Control-Allow-Headers`

CORSプロトコルの目的で、レスポンスの URLがサポートするヘッダーを示します。

`Access-Control-Max-Age`

`Access-Control-Allow-Methods`および `Access-Control-Allow-Headers`ヘッダーで提供された情報がキャッシュ可能な秒数（デフォルト5秒）を示します。

CORSプリフライトリクエストでない CORSリクエストへのHTTPレスポンスは、次のヘッダーも含めることができます：

`Access-Control-Expose-Headers`: レスポンスの一部として公開できるヘッダーを、その名前で列挙して示します。

サーバー開発者が共有の意図を持つCORSリクエストへの成功したHTTPレスポンスは、上記のヘッダーとリクエストと一致した値を含める限り、任意のステータスを利用できます。

CORSプリフライトリクエストへの成功したHTTPレスポンスも同様ですが、okステータス（例: 200や204）に制限されます。

他の種類のHTTPレスポンスは成功とは見なされず、共有されないかCORSプリフライトリクエストが失敗します。サーバーが明示的に示したい場合は、403ステータスと該当するヘッダーの省略を組み合わせて使うこともできます。

「失敗」も共有したい場合は可能ですが、それは成功したHTTPレスポンスとなります。そのため、CORSプリフライトリクエストでないCORSリクエストへの成功したHTTPレスポンスのステータスは、403も含めて何でもよいです。

最終的に、サーバー開発者はHTTPレスポンスの扱いにおいて多くの自由があります。これらの戦略はCORSプリフライトリクエストと、その後のCORSリクエストで異なる場合があります：

静的レスポンスを返すことができます。これはキャッシュ中継サーバと連携する場合に有用です。静的レスポンスは状況により成功にも失敗にもなり得ます。これは問題ありません。
動的レスポンスを返し、CORSリクエストに合わせて調整することもできます。これはレスポンス本文を特定のオリジンに合わせたり、認証情報付きで特定オリジン群に成功させたい場合に有用です。

3.3.4. HTTP新ヘッダー構文

CORSプロトコルで使われるヘッダーの値のABNF：

Access-Control-Request-Method    = method
Access-Control-Request-Headers   = 1#field-name

wildcard                         = "*"
Access-Control-Allow-Origin      = origin-or-null / wildcard
Access-Control-Allow-Credentials = %s"true" ; case-sensitive
Access-Control-Expose-Headers    = #field-name
Access-Control-Max-Age           = delta-seconds
Access-Control-Allow-Methods     = #method
Access-Control-Allow-Headers     = #field-name

`Access-Control-Expose-Headers`、`Access-Control-Allow-Methods`、`Access-Control-Allow-Headers`レスポンスヘッダーについては、値`*`は認証情報を含まないリクエストに対するワイルドカードとして扱われます。そのようなリクエストについては、`*`というヘッダー名やメソッドに対してのみ一致させる方法はありません。

3.3.5. CORSプロトコルと認証情報

リクエストの認証情報モードが"include"の場合、認証情報をfetchで含める以外にも、CORSプロトコルの動作に影響を与えます。

かつては、XMLHttpRequest を使ってリクエストの認証情報モードを"include"に設定できました：

var client = new XMLHttpRequest()
client.open("GET", "./")
client.withCredentials = true
/* … */

現在は、fetch("./", { credentials:"include" }).then(/* … */)だけで充分です。

リクエストの認証情報モードは、サーバ側で常に観測できるわけではありません。認証情報が含まれるリクエストのみ、認証情報が含まれていることで観測可能です。なお、CORSプリフライトリクエストでは認証情報は決して含まれません。

したがってサーバー開発者は、認証情報付きレスポンスを共有するかどうか、またCORSプリフライトリクエストが必要なリクエストで認証情報を含めるかどうかの判断が必要です。一般的に、レスポンスの共有もリクエストの許可も認証情報付きの場合は極めて危険であり、confused deputy問題を回避するために細心の注意が必要です。

認証情報付きでレスポンスを共有するには、`Access-Control-Allow-Origin`と `Access-Control-Allow-Credentials`ヘッダーが重要です。以下の表は、https://rabbit.invalid/へのリクエストにおける合法・非合法の組み合わせ例です：

リクエストの認証情報モード	``Access-Control-Allow-Origin``	``Access-Control-Allow-Credentials``	共有可？	備考
"`omit`"	``*``	省略	✅	—
"`omit`"	``*``	``true``	✅	credentials modeが"`include`"でなければ``Access-Control-Allow-Credentials``は無視される。
"`omit`"	``https://rabbit.invalid/``	省略	❌	直列化されたオリジンは後ろにスラッシュが付かない。
"`omit`"	``https://rabbit.invalid``	省略	✅	—
"`include`"	``*``	``true``	❌	credentials modeが"`include`"の場合、``Access-Control-Allow-Origin``は``*``を使えない。
"`include`"	``https://rabbit.invalid``	``true``	✅	—
"`include`"	``https://rabbit.invalid``	``True``	❌	``true``は（バイト単位で）大文字小文字が区別される。

同様に、`Access-Control-Expose-Headers`、`Access-Control-Allow-Methods`、`Access-Control-Allow-Headers`レスポンスヘッダーも、リクエストの認証情報モードが"include"でない場合のみ値に`*`を使えます。

3.3.6. 例

https://foo.invalid/のスクリプトが、https://bar.invalid/からデータを取得したいとします。（認証情報やレスポンスヘッダーアクセスは重要ではありません。）

var url = "https://bar.invalid/api?key=730d67a37d7f3d802e96396d00280768773813fbe726d116944d814422fc1a45&data=about:unicorn";
fetch(url).then(success, failure)

これはCORSプロトコルが使われますが、foo.invalid側の開発者からは完全に透過的です。CORSプロトコルの一部として、ユーザーエージェントはリクエストに`Origin`ヘッダーを含めます：

Origin: https://foo.invalid

bar.invalidからレスポンスを受信した際、ユーザーエージェントは`Access-Control-Allow-Origin`レスポンスヘッダーを検証します。その値が `https://foo.invalid` または `*` であれば、ユーザーエージェントはsuccessコールバックを呼びます。それ以外の値、または省略されている場合は、failureコールバックが呼ばれます。

foo.invalidの開発者が再び登場し、今度はbar.invalidからデータ取得時にレスポンスヘッダーも参照したいと考えています。

fetch(url).then(response => {
  var hsts = response.headers.get("strict-transport-security"),
      csp = response.headers.get("content-security-policy")
  log(hsts, csp)
})

bar.invalidは前述の例の通り、正しい`Access-Control-Allow-Origin`レスポンスヘッダーを返しています。 hstsやcspの値は、`Access-Control-Expose-Headers`レスポンスヘッダーに依存します。たとえば、レスポンスが次のヘッダーを含んでいた場合

Content-Security-Policy: default-src 'self'
Strict-Transport-Security: max-age=31536000; includeSubdomains; preload
Access-Control-Expose-Headers: Content-Security-Policy

このとき、hstsはnull、cspは"default-src 'self'"となります（両方のヘッダーが含まれていても）。これは、bar.invalidが各ヘッダー名を`Access-Control-Expose-Headers`レスポンスヘッダーで明示的に共有する必要があるためです。

別の方法として、bar.invalidが全てのレスポンスヘッダーを共有したい場合（認証情報を含まないリクエストに対して）、`*`を`Access-Control-Expose-Headers`レスポンスヘッダーの値として使うことができます。リクエストに認証情報が含まれる場合は、ヘッダー名を明示的に列挙する必要があり、`*`は使えません。

foo.invalidの開発者が再び登場し、今度は認証情報を含めてbar.invalidからデータを取得します。今回はCORSプロトコルが開発者から見て透過的ではありません。なぜなら、認証情報には明示的なオプトインが必要だからです：

fetch(url, { credentials:"include" }).then(success, failure)

このときbar.invalidが返す`Set-Cookie`レスポンスヘッダーも完全に機能します（そうでなければ無視されます）。

ユーザーエージェントは、リクエストに該当する認証情報を必ず含めます。またレスポンスにはより厳しい要件が課されます。bar.invalidは`Access-Control-Allow-Origin`ヘッダーの値として`https://foo.invalid`を明示する必要があり（認証情報が関与する場合`*`は不可）、`Access-Control-Allow-Credentials`ヘッダーも必要です：

Access-Control-Allow-Origin: https://foo.invalid
Access-Control-Allow-Credentials: true

これら2つのヘッダーがこの値で含まれていなければ、failureコールバックが呼ばれます。ただし、`Set-Cookie`レスポンスヘッダーは尊重されます。

3.3.7. CORSプロトコルの例外

仕様では、CORS safelist 以外の`Content-Type`ヘッダー値に対して限定的な例外が認められています。これらの例外は、ウェブコンテンツによって発生可能だが、ヘッダーやボディをウェブコンテンツからは最小限しか制御できないリクエストに対して設けられています。そのため、サーバー側は、クロスオリジンのウェブコンテンツによって以下の非プリフライトな非safelistな`Content-Type`ヘッダー値でリクエストされうることを想定する必要があります：

`application/csp-report` [CSP]
`application/expect-ct-report+json` [RFC9163]
`application/xss-auditor-report`
`application/ocsp-request` [RFC6960]

仕様は新たな例外の導入を避けるべきであり、慎重なセキュリティ検討の上でのみ追加するべきです。新しい例外の提案は issueの提出で行えます。

3.4. ``Content-Length`` ヘッダー

`Content-Length`ヘッダーは主にHTTPで定義されています。その処理モデルはHTTPで定義されたものがウェブコンテンツと互換性がないため、ここで定義されています。[HTTP]

長さを抽出するには、ヘッダーリスト headersを与えて次の手順を実行する：

valuesを、headersから`Content-Length`を取得・デコード・分割した結果とする。
valuesがnullならnullを返す。
candidateValueをnullとする。
各 values の value について：
1. candidateValueがnullなら、candidateValueにvalueを設定する。
2. そうでなければ、valueがcandidateValueと異なれば、failureを返す。
candidateValueが空文字列か、コードポイントにASCII数字でないものが含まれていれば、nullを返す。
candidateValueを10進数として解釈して返す。

3.5. ``Content-Type`` ヘッダー

`Content-Type`ヘッダーは主にHTTPで定義されています。その処理モデルはHTTPで定義されたものがウェブコンテンツと互換性がないため、ここで定義されています。[HTTP]

MIMEタイプを抽出するには、ヘッダーリスト headersを与えて次の手順を実行する。これらはfailureまたはMIMEタイプを返す。

charsetをnullとする。
essenceをnullとする。
mimeTypeをnullとする。
valuesを、headersから`Content-Type`を取得・デコード・分割した結果とする。
valuesがnullならfailureを返す。
各 values の value について：
1. temporaryMimeTypeをvalueをMIMEタイプとして構文解析した結果とする。
2. temporaryMimeTypeがfailure、またはそのエッセンスが"*/*"なら、continue。
3. mimeTypeにtemporaryMimeTypeを設定する。
4. mimeTypeのエッセンスがessenceと異なる場合：
  1. charsetをnullに設定する。
  2. mimeTypeのparameters["charset"]が存在すれば、charsetにその値を設定する。
  3. essenceにmimeTypeのエッセンスを設定する。
5. そうでなければ、mimeTypeのparameters["charset"]が存在せず、かつcharsetがnullでなければ、mimeTypeのparameters["charset"]にcharsetを設定する。
mimeTypeがnullならfailureを返す。
mimeTypeを返す。

MIMEタイプを抽出するがfailureを返した場合や、MIMEタイプのエッセンスが与えられたフォーマットに不適切な場合は、致命的エラーとして扱うこと。既存のウェブプラットフォーム機能はこのパターンに従っていないことが多く、長年にわたりセキュリティ脆弱性の主な原因となっています。一方で、MIMEタイプのパラメータは通常無視しても安全です。

MIMEタイプを抽出するの実際の動作例：

Headers（ネットワーク上の値）	出力（直列化）
`Content-Type: text/plain;charset=gbk, text/html`	`text/html`
`Content-Type: text/html;charset=gbk;a=b, text/html;x=y`	`text/html;x=y;charset=gbk`
`Content-Type: text/html;charset=gbk;a=b Content-Type: text/html;x=y`	`text/html;x=y;charset=gbk`
`Content-Type: text/html;charset=gbk Content-Type: x/x Content-Type: text/html;x=y`	`text/html;x=y`
`Content-Type: text/html Content-Type: cannot-parse`	`text/html`
`Content-Type: text/html Content-Type: /`
`Content-Type: text/html Content-Type:`

レガシーエンコーディング抽出は、failureまたはMIMEタイプ mimeTypeとエンコーディング fallbackEncodingを与えて次の手順を実行する：

mimeTypeがfailureならfallbackEncodingを返す。
mimeType["charset"]が存在しなければ、fallbackEncodingを返す。
tentativeEncodingをmimeType["charset"]からエンコーディング取得した結果とする。
tentativeEncodingがfailureならfallbackEncodingを返す。
tentativeEncodingを返す。

このアルゴリズムはmimeTypeがfailureでも受け付けるため、MIMEタイプを抽出すると容易に組み合わせられます。

これが"legacy"とされるのは、現代のフォーマットはUTF-8のみ使うことが推奨されているためです。

3.6. ``X-Content-Type-Options`` ヘッダー

`X-Content-Type-Options` レスポンスヘッダーは、リクエストのdestinationに対してレスポンスの`Content-Type`ヘッダーのチェックを要求するために使用できます。

nosniffを判定するには、ヘッダーリスト listを与えて次の手順を実行する：

valuesをlistから`X-Content-Type-Options`を取得・デコード・分割した結果とする。
valuesがnullならfalseを返す。
values[0]が"nosniff"とASCII大文字・小文字を区別せず一致するならtrueを返す。
falseを返す。

ウェブ開発者および適合性チェッカーは、`X-Content-Type-Options`の値に次のABNFを使わなければなりません：

X-Content-Type-Options           = "nosniff" ; case-insensitive

3.6.1. `response`を`request`へのレスポンスとしてnosniffのためにブロックすべきか？

次の手順を実行する：

responseのヘッダーリストに対してnosniffを判定するがfalseなら、allowedを返す。
mimeTypeをresponseのヘッダーリストからMIMEタイプを抽出するの結果とする。
destinationをrequestのdestinationとする。
destinationがスクリプト系で、mimeTypeがfailureまたはJavaScript MIMEタイプでなければ、blockedを返す。
destinationが"style"で、mimeTypeがfailureまたはそのエッセンスが"text/css"でなければ、blockedを返す。
allowedを返す。

スクリプト系または"style"のdestinationだけが考慮されます。なぜならそれらに関連する攻撃があるためです。また、"image"は既存コンテンツとの互換性がありませんでした。

3.7. ``Cross-Origin-Resource-Policy`` ヘッダー

`Cross-Origin-Resource-Policy` レスポンスヘッダーは、リクエストの現在のURLのオリジンをリクエストのoriginと比較して確認するために使用できます。これはリクエストのmodeが"no-cors"の時です。

その値のABNF：

Cross-Origin-Resource-Policy     = %s"same-origin" / %s"same-site" / %s"cross-origin" ; case-sensitive

クロスオリジンリソースポリシーチェックを行うには、origin origin、環境設定オブジェクト settingsObject、文字列destination、response response、および省略可能なboolean forNavigationを与えて次の手順を実行する：

forNavigationが与えられていなければfalseとする。
embedderPolicyをsettingsObjectのポリシーコンテナの埋め込み者ポリシーとする。
クロスオリジンリソースポリシー内部チェックをorigin、"unsafe-none"、response、forNavigationで実行し、結果がblockedならblockedを返す。

このステップは、Cross-Origin Embedder Policyに関連しない違反の報告を避けるために必要です。
クロスオリジンリソースポリシー内部チェックをorigin、embedderPolicyのレポート専用値、response、forNavigationで実行し、結果がblockedならクロスオリジン埋め込み者ポリシーCORP違反レポートをキューするをresponse、settingsObject、destination、trueで実行する。
クロスオリジンリソースポリシー内部チェックをorigin、embedderPolicyの値、response、forNavigationで実行し、結果がallowedならallowedを返す。
クロスオリジン埋め込み者ポリシーCORP違反レポートをキューするをresponse、settingsObject、destination、falseで実行する。
blockedを返す。

HTMLのナビゲートアルゴリズムのみが、このチェックをforNavigationをtrueに設定して使用し、常にネストされたナビゲーションのために行われます。それ以外では、responseは内部レスポンスであり、不透明なフィルタリングされたレスポンスの内部レスポンスであるか、またはレスポンスであり、それが内部レスポンスである不透明なフィルタリングされたレスポンスとなります。[HTML]

クロスオリジンリソースポリシー内部チェックを行うには、 origin origin、埋め込み者ポリシー値 embedderPolicyValue、response response、boolean forNavigationを与えて次の手順を実行する：

forNavigationがtrueでembedderPolicyValueが"unsafe-none"ならallowedを返す。
policyをresponseのヘッダーリストから`Cross-Origin-Resource-Policy`を取得した結果とする。

これは、`Cross-Origin-Resource-Policy: same-site, same-origin`のような場合は、embedderPolicyValueが"unsafe-none"である限り、下で何にも一致しないのでallowedとなる、という意味です。`Cross-Origin-Resource-Policy`ヘッダーが2つ以上あっても同様です。
policyが`same-origin`、`same-site`、`cross-origin`のいずれでもなければ、policyをnullとする。
policyがnullなら、embedderPolicyValueに応じて次を行う：
"unsafe-none"

何もしない。

"credentialless"
以下のいずれかが真ならpolicyを`same-origin`に設定する：
- responseのrequest-includes-credentialsがtrue
- forNavigationがtrue
"require-corp"

policyを`same-origin`に設定する。
policyに応じて次を行う：
null
`cross-origin`

allowedを返す。

`same-origin`

originがresponseのURLのoriginと同一オリジンならallowedを返す。

そうでなければblockedを返す。

`same-site`
以下がすべて真なら
- originがresponseのURLのoriginとスキームなし同一サイトである
- originのスキームが"https"である、またはresponseのURLのスキームが"https"でない
このときallowedを返す。

そうでなければblockedを返す。

`Cross-Origin-Resource-Policy: same-site`は、セキュアな伝送で配信されたレスポンスが、たとえホストが同一サイトでも非セキュアなリクエスト元とは一致しないことに注意。セキュアなレスポンスはセキュアなイニシエータとだけ一致する。

クロスオリジン埋め込み者ポリシーCORP違反レポートをキューするには、 response response、環境設定オブジェクト settingsObject、文字列destination、boolean reportOnlyを与えて次の手順を実行する：

endpointをsettingsObjectのポリシーコンテナの埋め込み者ポリシーのreport only reporting endpoint（reportOnlyがtrueかつ settingsObjectのポリシーコンテナの埋め込み者ポリシーの時）、それ以外はreporting endpointとする。
serializedURLをresponseでreporting用レスポンスURLの直列化した結果とする。
dispositionをreportOnlyがtrueなら"reporting"、そうでなければ"enforce"とする。

bodyを次のプロパティを持つ新しいオブジェクトとする：

key	value
"`type`"	"`corp`"
"`blockedURL`"	`serializedURL`
"`destination`"	`destination`
"`disposition`"	`disposition`

レポートの生成とキューを、settingsObjectのグローバルオブジェクト、"coep"レポートタイプ、endpoint、bodyで実行する。[REPORTING]

3.8. ``Sec-Purpose`` ヘッダー

`Sec-Purpose` HTTPリクエストヘッダーは、そのリクエストがユーザーによる即時利用以外の目的でリソースを要求していることを示します。

`Sec-Purpose` ヘッダーフィールドはstructured headerであり、その値はトークンでなければなりません。

定義されているトークンはprefetchのみです。これはリクエストの目的が、近いうちに必要になると予想されるリソースを取得することであることを示します。

サーバーはこれを利用して、プリフェッチ用のキャッシュ有効期限を調整したり、プリフェッチを拒否したり、ページ訪問回数のカウント時に別扱いすることができます。

4. フェッチング

以下のアルゴリズムはフェッチングを定義しています。大まかに言えば、リクエストと、操作のさまざまなポイントで実行される一つ以上のアルゴリズムを受け取ります。レスポンスは、下記の最後の二つのアルゴリズムに渡されます。最初の二つのアルゴリズムは、アップロードのキャプチャに利用できます。

フェッチするには、リクエストrequest、オプションのアルゴリズムprocessRequestBodyChunkLength、オプションのアルゴリズムprocessRequestEndOfBody、オプションのアルゴリズムprocessEarlyHintsResponse、オプションのアルゴリズムprocessResponse、オプションのアルゴリズムprocessResponseEndOfBody、オプションのアルゴリズムprocessResponseConsumeBody、およびオプションのブール値useParallelQueue（デフォルトはfalse）を受け取り、以下の手順を実行します。processRequestBodyChunkLengthが指定されている場合、送信されたバイト数を表す整数を受け取るアルゴリズムでなければなりません。processRequestEndOfBodyが指定されている場合、引数なしで受け取るアルゴリズムでなければなりません。processEarlyHintsResponseが指定されている場合、レスポンスを受け取るアルゴリズムでなければなりません。processResponseが指定されている場合、レスポンスを受け取るアルゴリズムでなければなりません。processResponseEndOfBodyが指定されている場合、レスポンスを受け取るアルゴリズムでなければなりません。processResponseConsumeBodyが指定されている場合、レスポンスとnull、失敗、またはバイト列を受け取るアルゴリズムでなければなりません。

ユーザーエージェントは進行中のフェッチを一時停止するように要求される場合があります。ユーザーエージェントは一時停止要求を受け入れるか、無視することができます。一時停止されたフェッチは再開できます。リクエストのHTTPキャッシュ内のレスポンスを更新している場合、ユーザーエージェントは一時停止要求を無視するべきです。

ユーザーエージェントは、リクエストのキャッシュモードが "no-store" である場合や、レスポンスに `Cache-Control: no-store` ヘッダーが含まれている場合、HTTPキャッシュのエントリを更新しません。[HTTP-CACHING]

アサート：requestのmodeが"navigate"であるか、processEarlyHintsResponseがnullである。

early hints（レスポンスのstatusが103であるもの）の処理は、ナビゲーションのみで認められます。
taskDestinationをnullとする。
crossOriginIsolatedCapabilityをfalseとする。
クライアントからリクエストを埋め込む、requestを指定して実行。
requestのclientがnullでなければ：
1. taskDestinationにrequestのclientのグローバルオブジェクトを設定する。
2. crossOriginIsolatedCapabilityにrequestのclientのクロスオリジン分離機能を設定する。
useParallelQueueがtrueであれば、taskDestinationに新しい並列キューの開始の結果を設定する。
timingInfoを新しいフェッチタイミング情報として生成し、その開始時刻とリダイレクト後開始時刻を粗化された共有現在時刻（crossOriginIsolatedCapabilityを指定）で設定し、レンダーブロッキングはrequestのレンダーブロッキングで設定する。
fetchParamsを新しいフェッチパラメータとして生成し、requestにrequest、timing infoにtimingInfo、process request body chunk lengthにprocessRequestBodyChunkLength、process request end-of-bodyにprocessRequestEndOfBody、process early hints responseにprocessEarlyHintsResponse、process responseにprocessResponse、process response consume bodyにprocessResponseConsumeBody、process response end-of-bodyにprocessResponseEndOfBody、task destinationにtaskDestination、cross-origin isolated capabilityにcrossOriginIsolatedCapabilityを設定する。
requestのbodyがバイト列であれば、requestのbodyをrequestのbody ボディとしてで設定する。
以下すべての条件を満たす場合：
- requestのURLのスキームがHTTP(S)スキーム
- requestのmodeが"same-origin"、"cors"、または"no-cors"
- requestのclientがnullでなく、requestのclientのグローバルオブジェクトがWindowオブジェクトである
- requestのmethodが `GET`
- requestのunsafe-request flagがセットされていない、またはrequestのheader listが空である
この場合：
1. アサート：requestのoriginがrequestのclientのoriginと同一オリジンである。
2. onPreloadedResponseAvailableに、レスポンスresponseを受け取ったとき、fetchParamsのpreloaded response candidateをresponseに設定するアルゴリズムを割り当てる。
3. foundPreloadedResourceに、プリロード済みリソースを消費するをrequestのclient、requestのURL、requestのdestination、requestのmode、requestのcredentials mode、requestのintegrity metadata、およびonPreloadedResponseAvailableを指定して呼び出した結果を設定する。
4. foundPreloadedResourceがtrueであり、かつfetchParamsのpreloaded response candidateがnullであれば、fetchParamsのpreloaded response candidateを"pending"に設定する。
requestのheader listが`Accept`を含まない場合：
1. valueを `*/*` にする。
2. requestのinitiatorが"prefetch"であれば、valueをドキュメント`Accept`ヘッダー値に設定する。
3. それ以外の場合、ユーザーエージェントはrequestのdestinationに応じて、下記の最初に一致する項目でvalueを設定するべきです：
  
  "document"
  "frame"
  "iframe"
  ドキュメント`Accept`ヘッダー値
  "image"
  `image/png,image/svg+xml,image/*;q=0.8,*/*;q=0.5`
  "json"
  `application/json,*/*;q=0.5`
  "style"
  `text/css,*/*;q=0.1`
4. 追加（`Accept`, value）を request のヘッダーリストに追加する。
もし request のヘッダーリストが `Accept-Language` を含まない場合、ユーザーエージェントは追加（`Accept-Language`, 適切なヘッダー値）を request のヘッダーリストに追加するべきです。
requestの内部優先度がnullであれば、requestのpriority、initiator、destination、およびレンダーブロッキングを用いて、実装定義の方法でrequestの内部優先度に実装定義のオブジェクトを設定する。

実装定義のオブジェクトは、HTTP/2のストリーム重みや依存性、HTTP/3などのトランスポートで利用されるExtensible Prioritization Scheme for HTTPの優先度、またはHTTP/1フェッチのディスパッチ・処理の優先度などを含む場合があります。[RFC9218]
requestがサブリソースリクエストであれば：
1. recordを新しいフェッチレコードとして生成し、requestにrequest、controllerにfetchParamsのcontrollerを設定する。
2. recordをrequestのclientのフェッチグループのフェッチレコードリストに追加する。
メインフェッチをfetchParamsで実行する。
fetchParamsのcontrollerを返す。

クライアントからリクエストを埋め込むには、リクエストrequestを指定して以下を実行します：

requestのユーザープロンプト用トラバーサブルが"client"であれば：
1. requestのユーザープロンプト用トラバーサブルを"no-traversable"に設定する。
2. requestのclientがnullでなければ：
  1. globalにrequestのclientのグローバルオブジェクトを設定する。
  2. globalがWindowオブジェクトであり、かつglobalのnavigableがnullでなければ、requestのユーザープロンプト用トラバーサブルをglobalのnavigableのtraversable navigableで設定する。
requestのoriginが"client"であれば：
1. アサート：requestのclientがnullでないこと。
2. requestのoriginをrequestのclientのoriginに設定する。
requestのポリシーコンテナが"client"であれば：
1. requestのclientがnullでなければ、requestのpolicy containerをrequestのclientのポリシーコンテナの複製に設定する。[HTML]
2. それ以外の場合、requestのpolicy containerを新しいポリシーコンテナに設定する。

4.1. メインフェッチ

メインフェッチするには、フェッチパラメータfetchParamsとオプションのブール値recursive（デフォルトはfalse）を指定して、以下の手順を実行します：

requestにfetchParamsのrequestを設定する。
responseをnullとする。
requestのlocal-URLs-only flagがセットされていて、かつrequestのcurrent URLがローカルでなければ、responseにネットワークエラーを設定する。
Content Security Policy違反をrequestに対して報告する。
必要に応じてrequestを信頼できるURLにアップグレードする。
必要に応じて混在コンテンツrequestを信頼できるURLにアップグレードする。
悪いポートのためrequestをブロックすべきか、混在コンテンツとしてrequestのフェッチをブロックすべきか、 Content Security Policyによりrequestをブロックすべきか、整合性ポリシーによりrequestをブロックすべきかがblockedを返した場合、responseにネットワークエラーを設定する。
requestのreferrer policyが空文字列であれば、requestのreferrer policyをrequestのpolicy containerのreferrer policyに設定する。
requestのreferrerが"no-referrer"でなければ、requestのreferrerをリクエストのreferrerを決定するの結果に設定する。[REFERRER]

Referrer Policyに記載されている通り、ユーザーエージェントはエンドユーザーに"no-referrer"に上書きする、またはより機微な情報のみを公開するオプションを提供できます。
以下すべての条件を満たす場合、requestのcurrent URLのschemeを"https"に設定する：
- requestのcurrent URLのschemeが"http"
- requestのcurrent URLのhostがドメインである
- requestのcurrent URLのhostのpublic suffixが"localhost"または"localhost."ではない
- requestのcurrent URLのhostをKnown HSTS Host Domain Name Matchingで照合した結果、includeSubDomains指令付きのスーパー領域一致または一致（includeSubDomains指令の有無問わず）が得られる、もしくはDNS解決でリクエストがsection 9.5のHTTPS RRと一致する場合。[HSTS] [SVCB]
すべてのDNS操作は通常実装定義であるため、DNS解決にHTTPS RRが含まれているかどうかの判定も実装定義です。DNS操作は伝統的にコネクション取得の試行まで行われないため、ユーザーエージェントはDNS操作を早期に実施したり、ローカルDNSキャッシュを参照したり、フェッチアルゴリズムの後段で判明した場合に論理を巻き戻す必要があるかもしれません。
recursiveがfalseであれば、残りの手順を並列で実行する。
responseがnullであれば、最初に一致する条件の手順を実行してresponseを設定する：
fetchParamsのpreloaded response candidateがnullでない
1. fetchParamsのpreloaded response candidateが"pending"でなくなるまで待つ。
2. アサート：fetchParamsのpreloaded response candidateがレスポンスである。
3. fetchParamsのpreloaded response candidateを返す。
requestのcurrent URLのoriginがrequestのoriginと同一オリジンで、かつrequestのresponse taintingが"basic"である
requestのcurrent URLのschemeが"data"である
requestのmodeが"navigate"または"websocket"である
1. requestのresponse taintingを"basic"に設定する。
2. スキームフェッチをfetchParamsで実行した結果を返す。
HTMLは、URLのschemeが"data"のものから作成されるドキュメントやワーカーに一意の不透明オリジンを割り当てます。Service WorkerはURLのschemeがHTTP(S)スキームのもののみから作成可能です。[HTML] [SW]
requestのmodeが"same-origin"である

ネットワークエラーを返す。

requestのmodeが"no-cors"である
1. requestのredirect modeが"follow"でなければネットワークエラーを返す。
2. requestのresponse taintingを"opaque"に設定する。
3. スキームフェッチをfetchParamsで実行した結果を返す。
requestのcurrent URLのschemeがHTTP(S)スキームでない

ネットワークエラーを返す。

requestのuse-CORS-preflight flagがセットされている
requestのunsafe-request flagがセットされていて、かつrequestのmethodがCORS安全リストメソッドでない、またはCORS安全でないリクエストヘッダー名がrequestのheader listで空でない
1. requestのresponse taintingを"cors"に設定する。
2. corsWithPreflightResponseにHTTPフェッチをfetchParamsとtrueで実行した結果を設定する。
3. corsWithPreflightResponseがネットワークエラーであれば、キャッシュエントリをクリアをrequestで実行する。
4. corsWithPreflightResponseを返す。
その他
1. requestのresponse taintingを"cors"に設定する。
2. HTTPフェッチをfetchParamsで実行した結果を返す。
recursiveがtrueであれば、responseを返す。
responseがネットワークエラーでなく、かつresponseがフィルタ済みレスポンスでなければ、以下を実行する：
1. requestのresponse taintingが"cors"であれば、以下を実行する：
  1. headerNamesにヘッダーリスト値の抽出を`Access-Control-Expose-Headers`とresponseのheader listで実行した結果を設定する。
  2. requestのcredentials modeが"include"でなく、かつheaderNamesが`*`を含んでいれば、responseのCORS公開ヘッダー名リストにresponseのheader listに含まれるすべての一意なヘッダー名を設定する。
  3. それ以外でheaderNamesがnullまたは失敗でなければ、responseのCORS公開ヘッダー名リストにheaderNamesを設定する。
    
    headerNamesのうち1つは`*`である場合がありますが、この時点ではヘッダーの名が`*`の場合のみ一致します。
2. 以下に応じてresponseをresponseを内部レスポンスとするフィルタ済みレスポンスに設定する：
  
  "basic"
  基本フィルタ済みレスポンス
  "cors"
  CORSフィルタ済みレスポンス
  "opaque"
  不透明フィルタ済みレスポンス
internalResponseにresponseを設定する。ただしresponseがネットワークエラーならresponse、それ以外ならresponseの内部レスポンスを設定する。
internalResponseのURLリストが空であれば、requestのURLリストの複製を設定する。

レスポンスのURLリストは空の場合があり、例えばabout:URLのフェッチ時などです。
internalResponseのリダイレクト汚染にrequestのredirect-taintを設定する。
requestのtiming allow failed flagが未設定なら、internalResponseのtiming allow passed flagを設定する。
responseがネットワークエラーでなく、かつ下記のどれかがblockedを返す場合
- 混在コンテンツとしてinternalResponseをrequestに対してブロックすべきか
- Content Security PolicyによりinternalResponseをrequestに対してブロックすべきか
- MIMEタイプによりinternalResponseをrequestに対してブロックすべきか
- nosniffによりinternalResponseをrequestに対してブロックすべきか
この場合responseとinternalResponseをネットワークエラーに設定する。
responseのtypeが"opaque"で、internalResponseのstatusが206で、internalResponseのrange-requested flagがセットされていて、かつrequestのheader listが`Range`を含まない場合、responseとinternalResponseをネットワークエラーに設定する。

従来、APIは範囲指定がなくても範囲レスポンスを受け入れます。これは、以前の範囲リクエストからの部分レスポンスがAPIに提供されることを防ぎます。

詳細

上記の手順は以下の攻撃を防ぎます：

メディア要素でクロスオリジンHTMLリソースの範囲をリクエストします（これは無効なメディア）。ただしレスポンスのクローン参照をService Workerに保持できます。後でこの部分レスポンスをscript要素のfetchレスポンスとして利用できます。もし部分レスポンスが有効なJavaScriptなら（リソース全体はそうでなくても）、実行するとプライベートデータが漏洩します。
responseがネットワークエラーでなく、かつrequestのmethodが`HEAD`または`CONNECT`である、またはinternalResponseのstatusがnullボディステータスであれば、internalResponseのbodyをnullに設定し、以降のエンキューは無視する。

この処理はHTTP違反サーバへのエラー処理の標準化です。
requestのintegrity metadataが空文字列でなければ、以下を実行する：
1. processBodyErrorにこの手順：fetch response handoverをfetchParamsとネットワークエラーで実行する。
2. responseのbodyがnullならprocessBodyErrorを実行し、以降の手順を中止する。
3. processBodyにbytesを受け取った場合の手順を設定する：
  1. bytesが一致しない場合、requestのintegrity metadataに、processBodyErrorを実行し以降の手順を中止する。[SRI]
  2. responseのbodyにbytesボディとしてを設定する。
  3. fetch response handoverをfetchParamsとresponseで実行する。
4. 完全に読み取るをresponseのbodyに対してprocessBodyとprocessBodyErrorで実行する。
それ以外の場合、fetch response handoverをfetchParamsとresponseで実行する。

フェッチレスポンス引き渡しは、フェッチパラメータfetchParamsとレスポンスresponseを指定して、以下の手順を実行します：

timingInfoにfetchParamsのタイミング情報を設定する。
responseがネットワークエラーでなく、かつfetchParamsのrequestのclientがセキュアコンテキストなら、timingInfoのserver-timing headersにresponseの内部レスポンスのヘッダーリストから`Server-Timing`を取得・デコード・分割した結果を設定する。

responseの内部レスポンスを用いるのは安全です。`Server-Timing`ヘッダー情報の公開は`Timing-Allow-Origin`ヘッダーによって制御されます。

ユーザーエージェントは非セキュアコンテキストのリクエストにも`Server-Timing`ヘッダーを公開する場合があります。
fetchParamsのrequestのdestinationが"document"であれば、fetchParamsのcontrollerのfull timing infoにfetchParamsのタイミング情報を設定する。
processResponseEndOfBodyに以下の手順を設定する：
1. unsafeEndTimeにunsafe shared current timeを設定する。
2. fetchParamsのcontrollerのreport timing stepsに、グローバルオブジェクトglobalを受け取る手順として以下を設定する：
  1. fetchParamsのrequestのURLのschemeがHTTP(S)スキームでなければreturnする。
  2. timingInfoのend timeにrelative high resolution time（unsafeEndTime, globalを指定）で設定する。
  3. cacheStateにresponseのcache stateを設定する。
  4. bodyInfoにresponseのbody infoを設定する。
  5. responseのtiming allow passed flagが未設定なら、timingInfoに不透明タイミング情報の作成（timingInfoを指定）の結果を設定し、cacheStateを空文字列に設定する。
    
    これはresponseがネットワークエラーの場合を含みます。
  6. responseStatusを0に設定する。
  7. fetchParamsのrequestのmodeが"navigate"でない、またはresponseのredirect taintが"same-origin"であれば：
    1. responseStatusにresponseのstatusを設定する。
    2. mimeTypeにMIMEタイプの抽出（responseのheader listを指定）の結果を設定する。
    3. mimeTypeが失敗でなければ、bodyInfoのcontent typeにサポートされているMIMEタイプの最小化（mimeType）の結果を設定する。
  8. fetchParamsのrequestのinitiator typeがnullでなければ、mark resource timing（timingInfo, fetchParamsのrequestのURL, fetchParamsのrequestのinitiator type, global, cacheState, bodyInfo, responseStatus)を実行する。
3. processResponseEndOfBodyTaskに以下の手順を設定する：
  1. fetchParamsのrequestのdone flagを設定する。
  2. fetchParamsのprocess response end-of-bodyがnullでなければ、fetchParamsのprocess response end-of-body（response）を実行する。
  3. fetchParamsのrequestのinitiator typeがnullでなく、かつfetchParamsのrequestのclientのグローバルオブジェクトがfetchParamsのtask destinationであれば、fetchParamsのcontrollerのreport timing steps（fetchParamsのrequestのclientのグローバルオブジェクト）を実行する。
4. フェッチタスクをキューし、processResponseEndOfBodyTaskをfetchParamsのtask destinationで実行する。
fetchParamsのprocess responseがnullでなければ、フェッチタスクをキューし、fetchParamsのprocess response（response）をfetchParamsのtask destinationで実行する。
internalResponseにresponseを設定する。ただしresponseがネットワークエラーならresponse、それ以外ならresponseの内部レスポンスを設定する。
internalResponseのbodyがnullなら、processResponseEndOfBodyを実行する。
それ以外の場合：
1. transformStreamに新しいTransformStreamを設定する。
2. identityTransformAlgorithmに、chunkを受け取ったときtransformStreamにchunkをenqueueするアルゴリズムを設定する。
3. transformStreamのセットアップを行い、transformAlgorithmをidentityTransformAlgorithmに、flushAlgorithmをprocessResponseEndOfBodyに設定する。
4. internalResponseのbodyのstreamに、internalResponseのbodyのstreamをpipe throughした結果をtransformStreamで設定する。
このTransformStreamは、ストリームの終端到達時の通知目的で必要です。それ以外は恒等変換ストリームです。
fetchParamsのprocess response consume bodyがnullでなければ、以下を実行する：
1. processBodyにnullOrBytesを受け取ったときfetchParamsのprocess response consume body（response, nullOrBytes）を実行する手順を設定する。
2. processBodyErrorにfetchParamsのprocess response consume body（response, failure）を実行する手順を設定する。
3. internalResponseのbodyがnullなら、フェッチタスクをキューし、processBody（null）をfetchParamsのtask destinationで実行する。
4. それ以外の場合、完全に読み取るをinternalResponseのbodyに対してprocessBody, processBodyError, fetchParamsのtask destinationで実行する。

4.2. スキームフェッチ

スキームフェッチするには、フェッチパラメータfetchParamsを指定して以下を実行する：

fetchParamsがキャンセル済みなら、fetchParamsに対する適切なネットワークエラーを返す。
requestにfetchParamsのrequestを設定する。
requestのcurrent URLのschemeに応じて下記を実行：
"about"

requestのcurrent URLのpathが"blank"なら、新しいレスポンス（status messageが`OK`、header listが« (`Content-Type`, `text/html;charset=utf-8`) »、bodyが空バイト列ボディとして）を返す。

URL（例: "about:config"）はナビゲーション中に処理され、フェッチング時にはネットワークエラーとなる。

"blob"
1. blobURLEntryにrequestのcurrent URLのblob URLエントリを設定する。
2. requestのmethodが`GET`でない、またはblobURLEntryがnullならネットワークエラーを返す。[FILEAPI]
  
  `GET`メソッドの制限は相互運用のためのみで有用性はない。
3. requestEnvironmentに環境決定（request）の結果を設定する。
4. isTopLevelNavigationにrequestのdestinationが"document"ならtrue、そうでなければfalseを設定する。
5. isTopLevelNavigationがfalseかつrequestEnvironmentがnullならネットワークエラーを返す。
6. navigationOrEnvironmentにisTopLevelNavigationがtrueなら文字列"navigation"、そうでなければrequestEnvironmentを設定する。
7. blobにblobオブジェクト取得（blobURLEntry, navigationOrEnvironment）の結果を設定する。
8. blobがBlobでなければネットワークエラーを返す。
9. responseに新しいレスポンスを設定する。
10. fullLengthにblobのsizeを設定する。
11. serializedFullLengthにfullLengthを直列化・同型エンコードした値を設定する。
12. typeにblobのtypeを設定する。
13. requestのheader listが`Range`を含まない場合：
  1. bodyWithTypeに安全抽出（blob）の結果を設定する。
  2. responseのstatus messageを`OK`に設定する。
  3. responseのbodyにbodyWithTypeのbodyを設定する。
  4. responseのheader listに« (`Content-Length`, serializedFullLength), (`Content-Type`, type) »を設定する。
14. それ以外の場合：
  1. responseのrange-requested flagを設定する。
  2. rangeHeaderに取得（`Range`, requestのheader list）の結果を設定する。
  3. rangeValueに単一レンジヘッダー値解析（rangeHeader, true）の結果を設定する。
  4. rangeValueが失敗ならネットワークエラーを返す。
  5. (rangeStart, rangeEnd)にrangeValueを設定する。
  6. rangeStartがnullなら：
    
    rangeStartにfullLength − rangeEndを設定する。
    
    rangeEndにrangeStart + rangeEnd − 1を設定する。
  7. それ以外の場合：
    
    rangeStartがfullLength以上ならネットワークエラーを返す。
    
    rangeEndがnullまたはfullLength以上ならrangeEndにfullLength − 1を設定する。
  8. slicedBlobにスライスblob（blob, rangeStart, rangeEnd + 1, type）の結果を設定する。
    
    Rangeヘッダーは両端含むバイト範囲だが、slice blobアルゴリズムは非包含なのでrangeEndを+1する必要あり。
  9. slicedBodyWithTypeに安全抽出（slicedBlob）の結果を設定する。
  10. responseのbodyにslicedBodyWithTypeのbodyを設定する。
  11. serializedSlicedLengthにslicedBlobのsizeを直列化・同型エンコードした値を設定する。
  12. contentRangeにContent-Range構築（rangeStart, rangeEnd, fullLength）の結果を設定する。
  13. responseのstatusを206に設定する。
  14. responseのstatus messageを`Partial Content`に設定する。
  15. responseのheader listに« (`Content-Length`, serializedSlicedLength), (`Content-Type`, type), (`Content-Range`, contentRange) »を設定する。
15. responseを返す。
"data"
1. dataURLStructにdata:URLプロセッサ（requestのcurrent URL）の結果を設定する。
2. dataURLStructが失敗ならネットワークエラーを返す。
3. mimeTypeにdataURLStructのMIME typeを直列化したものを設定する。
4. 新しいレスポンス（status messageが`OK`、header listが« (`Content-Type`, mimeType) »、bodyがdataURLStructのbody ボディとして）を返す。
"file"

現段階ではfile:URLは読者の演習に委ねます。

不明な場合はネットワークエラーを返すこと。

HTTP(S)スキーム

HTTPフェッチ（fetchParams）の結果を返す。
ネットワークエラーを返す。

環境決定は、リクエストrequestに対して以下を実行する：

requestのreserved clientがnullでなければ、requestのreserved clientを返す。
requestのclientがnullでなければ、requestのclientを返す。
nullを返す。

4.3. HTTPフェッチ

HTTPフェッチするには、フェッチパラメータfetchParamsとオプションのブール値makeCORSPreflight（デフォルトはfalse）を指定して、以下の手順を実行する：

requestにfetchParamsのrequestを設定する。
responseとinternalResponseをnullに設定する。
requestのservice-workers modeが"all"なら：
1. requestForServiceWorkerにrequestのクローンを設定する。
2. requestForServiceWorkerのbodyがnullでなければ：
  1. transformStreamに新しいTransformStreamを設定する。
  2. transformAlgorithmにchunkを受け取ったときの以下の手順を設定する：
    1. fetchParamsがキャンセル済みなら以降を中止する。
    2. chunkがUint8ArrayでなければfetchParamsのcontrollerをterminateする。
    3. それ以外の場合、enqueueでchunkをtransformStreamに追加する。ユーザーエージェントはchunkを実装定義のサイズに分割し、それぞれenqueueしても良い。あるいはchunkを実装定義のサイズに連結してenqueueしても良い。
  3. transformStreamのセットアップを行い、transformAlgorithmをtransformAlgorithmに設定する。
  4. requestForServiceWorkerのbodyのstreamに、requestForServiceWorkerのbodyのstreamをpipe throughした結果をtransformStreamで設定する。
3. serviceWorkerStartTimeに粗化された共有現在時刻（fetchParamsのcross-origin isolated capability）を設定する。
4. responseにhandle fetch（requestForServiceWorker、fetchParamsのcontrollerとcross-origin isolated capability）の結果を設定する。[HTML] [SW]
5. responseがnullでなければ：
  1. fetchParamsのtiming infoのfinal service worker start timeにserviceWorkerStartTimeを設定する。
  2. requestのbodyがnullでなければcancel（requestのbody、undefined）を実行する。
  3. internalResponseにresponseがフィルタ済みレスポンスでなければresponse、そうであればresponseの内部レスポンスを設定する。
  4. 以下のいずれかがtrueなら：
    - responseのtypeが"error"である
    - requestのmodeが"same-origin"で、かつresponseのtypeが"cors"である
    - requestのmodeが"no-cors"でなく、かつresponseのtypeが"opaque"である
    - requestのredirect modeが"manual"でなく、かつresponseのtypeが"opaqueredirect"
    - requestのredirect modeが"follow"でなく、かつresponseのURLリストが2つ以上ある
    この場合ネットワークエラーを返す。
responseがnullなら：
1. makeCORSPreflightがtrueで、以下のいずれかがtrueなら：
  - requestのmethodでメソッドキャッシュエントリ一致が無く、かつrequestのmethodがCORS安全リストメソッドでなく、またはrequestのuse-CORS-preflight flagがセットされている
  - requestのheader listのCORS安全でないリクエストヘッダー名にitemがあり、かつヘッダー名キャッシュエントリ一致が無い
  この場合：
  1. preflightResponseにCORSプリフライトフェッチ（request）の結果を設定する。
  2. preflightResponseがネットワークエラーならpreflightResponseを返す。
  この手順はCORSプリフライトキャッシュを確認し、適切なエントリがなければCORSプリフライトフェッチを実施し、成功すればキャッシュを更新する。CORSプリフライトフェッチの目的は取得したリソースがCORSプロトコルを理解しているか確認すること。キャッシュはCORSプリフライトフェッチを最小限にするためにある。
2. requestのredirect modeが"follow"ならrequestのservice-workers modeを"none"に設定する。
  
  ネットワーク由来のリダイレクト（Service Worker由来でない）はService Workerに露出してはならない。
3. HTTP-network-or-cache fetch（fetchParams）の結果をresponseとinternalResponseに設定する。
4. requestのresponse taintingが"cors"で、CORSチェック（request, response）が失敗ならネットワークエラーを返す。
  
  CORSチェックは304/407ステータスやService Worker由来レスポンスには適用されないが、ここでは適用する。
5. TAOチェック（request, response）が失敗ならrequestのtiming allow failed flagを設定する。
requestのresponse tainting、またはresponseのtypeが"opaque"で、かつcross-origin resource policy check（requestのorigin、requestのclient、requestのdestination、internalResponse）がblockedを返す場合、ネットワークエラーを返す。

cross-origin resource policy checkはネットワーク由来とService Worker由来両方のレスポンスに適用される。CORSチェックとは異なり、requestのclientとService Workerは埋め込みポリシーが異なる可能性がある。
internalResponseのstatusがリダイレクトステータスなら：
1. internalResponseのstatusが303以外で、requestのbodyがnullでなく、かつconnectionがHTTP/2を使う場合、ユーザーエージェントはRST_STREAMフレームを送信してもよい（推奨）。
  
  303は一部コミュニティで特別視されるため除外されている。
2. requestのredirect modeにより下記を実行：
  "error"
  1. responseにネットワークエラーを設定する。
  "manual"
  1. requestのmodeが"navigate"ならfetchParamsのcontrollerのnext manual redirect stepsにHTTP-redirect fetch（fetchParams, response）を設定する。
  2. それ以外の場合、responseにopaque-redirectフィルタ済みレスポンス（内部レスポンスがinternalResponse）を設定する。
  "follow"
  1. responseにHTTP-redirect fetch（fetchParams, response）の結果を設定する。
responseを返す。通常はinternalResponseのbodyのstreamへのenqueueは返却後も継続している。

4.4. HTTPリダイレクトフェッチ

HTTPリダイレクトフェッチは、フェッチパラメータfetchParamsとレスポンスresponseを指定して以下を実行します：

requestにfetchParamsのrequestを設定する。
internalResponseにresponseがフィルタ済みレスポンスでなければresponse、そうであればresponseの内部レスポンスを設定する。
locationURLにinternalResponseのlocation URL（requestのcurrent URLのfragmentを指定）を設定する。
locationURLがnullならresponseを返す。
locationURLが失敗ならネットワークエラーを返す。
locationURLのschemeがHTTP(S)スキームでなければネットワークエラーを返す。
requestのredirect countが20ならネットワークエラーを返す。
requestのredirect countを1増やす。
requestのmodeが"cors"で、locationURLが資格情報を含むで、requestのoriginがlocationURLのoriginと同一オリジンでなければネットワークエラーを返す。
requestのresponse taintingが"cors"で、locationURLが資格情報を含むならネットワークエラーを返す。

これはクロスオリジンリソースが同一オリジンURLへリダイレクトする場合を捕捉します。
internalResponseのstatusが303以外で、requestのbodyがnullでなく、かつrequestのbodyのsourceがnullならネットワークエラーを返す。
以下のいずれかがtrueなら：
- internalResponseのstatusが301または302で、requestのmethodが`POST`
- internalResponseのstatusが303で、requestのmethodが`GET`または`HEAD`でない
この場合：
1. requestのmethodを`GET`に、requestのbodyをnullに設定する。
2. 各headerName（request-body-header name）についてrequestのheader listから削除する。
requestのcurrent URLのoriginがlocationURLのoriginと同一オリジンでなければ、各headerName（CORS非ワイルドカードリクエストヘッダー名）についてrequestのheader listから削除する。

初回リクエスト以降に他のオリジンが現れた時点で`Authorization`ヘッダーは削除されます。
requestのbodyがnullでなければ、requestのbodyにbody（安全抽出（requestのbodyのsource）の結果）を設定する。

requestのbodyのsourceがnullかどうかはすでに判定済みです。
timingInfoにfetchParamsのtiming infoを設定する。
timingInfoのredirect end timeとpost-redirect start timeに粗化された共有現在時刻（fetchParamsのcross-origin isolated capability）を設定する。
timingInfoのredirect start timeが0なら、timingInfoのredirect start timeにtimingInfoのstart timeを設定する。
locationURLをrequestのURLリストに追加する。
リダイレクト時のreferrer policy設定をrequestとinternalResponseで実行する。[REFERRER]
recursiveにtrueを設定する。
requestのredirect modeが"manual"なら：
1. アサート：requestのmodeが"navigate"である。
2. recursiveをfalseに設定する。
メインフェッチ（fetchParams, recursive）の結果を返す。

これはrequestのresponse taintingを正しくするためにメインフェッチを呼び出す必要があります。

4.5. HTTPネットワークまたはキャッシュフェッチ

HTTPネットワークまたはキャッシュフェッチは、フェッチパラメータfetchParams、オプションのブール値isAuthenticationFetch（デフォルトはfalse）、オプションのブール値isNewConnectionFetch（デフォルトはfalse）を指定して以下を実行します：

一部の実装ではHTTPキャッシュに従って部分コンテンツのキャッシュをサポートする場合がありますが、ブラウザのキャッシュでは広くサポートされていません。 [HTTP-CACHING]

requestにfetchParamsのrequestを設定する。
httpFetchParamsをnullに設定する。
httpRequestをnullに設定する。
responseをnullに設定する。
storedResponseをnullに設定する。
httpCacheをnullに設定する。
revalidatingFlagを未設定にする。
以下の手順を実行するが、abort when fetchParamsがキャンセル済みの場合は中止する：
1. requestのtraversable for user promptsが"no-traversable"で、かつrequestのredirect modeが"error"なら、httpFetchParamsをfetchParams、httpRequestをrequestに設定する。
2. それ以外の場合：
  1. httpRequestにrequestのクローンを設定する。
    
    実装はrequestのbodyのstreamをteeすることを避けることが推奨されます。requestのbodyのsourceがnullの場合、単一ボディで十分です。例：bodyのsourceがnullの場合、リダイレクトや認証はフェッチ失敗となります。
  2. httpFetchParamsにfetchParamsのコピーを設定する。
  3. httpFetchParamsのrequestにhttpRequestを設定する。
  ユーザープロンプトやリダイレクトが発生する場合、ユーザーの応答やリダイレクト先が決まった後で再送する必要があるため、元のリクエストボディが部分的に送信されている場合を考慮して、事前にリクエスト（ボディ含む）を複製して予備を持っておく必要があります。
3. includeCredentialsを以下いずれかがtrueならtrue、それ以外ならfalseに設定：
  - requestのcredentials modeが"include"
  - requestのcredentials modeが"same-origin"かつrequestのresponse taintingが"basic"
  がtrueの場合のみtrue。
4. Cross-Origin-Embedder-Policyがcredentialsを許可するか（request）がfalseならincludeCredentialsをfalseに設定する。
5. contentLengthにhttpRequestのbodyのlength（bodyがnullでなければ）を設定し、そうでなければnull。
6. contentLengthHeaderValueをnullに設定する。
7. httpRequestのbodyがnullで、かつhttpRequestのmethodが`POST`または`PUT`なら、contentLengthHeaderValueに`0`を設定する。
8. contentLengthがnullでなければ、contentLengthHeaderValueにcontentLengthを直列化・同型エンコードしたものを設定する。
9. contentLengthHeaderValueがnullでなければ、Content-Length（value:contentLengthHeaderValue）をhttpRequestのheader listに追加する。
10. contentLengthがnullでなく、かつhttpRequestのkeepaliveがtrueなら：
  1. inflightKeepaliveBytesを0に設定する。
  2. groupにhttpRequestのclientのfetch groupを設定する。
  3. inflightRecordsにgroup内でfetch recordのうち、requestのkeepaliveがtrue・done flagが未設定のものの集合を設定する。
  4. 各fetchRecord（inflightRecordsの要素）について：
    1. inflightRequestにfetchRecordのrequestを設定する。
    2. inflightKeepaliveBytesにinflightRequestのbodyのlengthを加算する。
  5. contentLength＋inflightKeepaliveBytesが64KiBを超える場合はネットワークエラーを返す。
  上記の制限により、bodyを持ち環境設定オブジェクトの存続後も生存できるリクエストのサイズが制限され、無限に生存するのを防ぎます。
11. httpRequestのreferrerがURLなら：
  1. referrerValueにhttpRequestのreferrerを直列化・同型エンコードしたものを設定する。
  2. Referer（referrerValue）をhttpRequestのheader listに追加する。
12. OriginヘッダーをhttpRequestに追加する。
13. FetchメタデータヘッダーをhttpRequestに追加する。 [FETCH-METADATA]
14. httpRequestのinitiatorが"prefetch"なら、Sec-Purpose（値:token prefetch）をhttpRequestのheader listに構造化フィールド値として設定する。
15. httpRequestのheader listがUser-Agentを含まない場合、ユーザーエージェントはUser-Agent（デフォルト値）をhttpRequestのheader listに追加するべきです。
16. httpRequestのcache modeが"default"かつhttpRequestのheader listがIf-Modified-Since、If-None-Match、If-Unmodified-Since、If-Match、If-Rangeのいずれかを含む場合はhttpRequestのcache modeを"no-store"に設定する。
17. httpRequestのcache modeが"no-cache"で、httpRequestのprevent no-cache cache-control header modification flagが未設定、かつhttpRequestのheader listがCache-Controlを含まない場合は、Cache-Control（value:max-age=0）をhttpRequestのheader listに追加する。
18. httpRequestのcache modeが"no-store"または"reload"なら：
  1. httpRequestのheader listがPragmaを含まない場合、Pragma（value:no-cache）をhttpRequestのheader listに追加する。
  2. httpRequestのheader listがCache-Controlを含まない場合、Cache-Control（value:no-cache）をhttpRequestのheader listに追加する。
19. httpRequestのheader listがRangeを含む場合、Accept-Encoding（value:identity）をhttpRequestのheader listに追加する。
  
  これはコンテンツ符号化を扱う際、符号化済みレスポンスの一部取得による失敗を回避します。
  
  さらに、多くのサーバーが非identity符号化を受け入れる場合Rangeヘッダーを無視する誤った実装があります。
20. HTTPに従ってhttpRequestのheader listを修正する。同名ヘッダーが既に存在する場合は追加しない。
  
  より規範的にしたい部分。ここでAccept-Encoding、Connection、DNT、Hostヘッダーは必要なら追加される。
  
  Accept、Accept-Charset、Accept-Languageは含めてはいけない。
  
  AcceptとAccept-Languageは既に含まれており（fetch()使用時は後者はデフォルトで含まれない）、Accept-Charsetは無駄。詳細はHTTPヘッダー階層分離参照。
21. includeCredentialsがtrueなら：
  1. CookieヘッダーをhttpRequestに追加する。
  2. httpRequestのheader listがAuthorizationを含まない場合：
    1. authorizationValueをnullに設定する。
    2. httpRequestに対する認証エントリがあり、かつhttpRequestのuse-URL-credentials flagが未設定またはhttpRequestのcurrent URLが資格情報を含まない場合、authorizationValueに認証エントリを設定する。
    3. それ以外でhttpRequestのcurrent URLが資格情報を含むかつisAuthenticationFetchがtrueならauthorizationValueにhttpRequestのcurrent URL（Authorization値に変換）を設定する。
    4. authorizationValueがnullでなければ、Authorization（value:authorizationValue）をhttpRequestのheader listに追加する。
22. プロキシ認証エントリがあれば適切に利用する。
  
  これはhttpRequestのcredentials modeには依存しません。
23. httpCacheにHTTPキャッシュパーティション判定（httpRequest）の結果を設定する。
24. httpCacheがnullならhttpRequestのcache modeを"no-store"に設定する。
25. httpRequestのcache modeが"no-store"でも"reload"でもない場合：
  1. storedResponseにhttpCacheからレスポンス選択（場合によって検証が必要）結果を設定する。詳細はHTTPキャッシュの「Constructing Responses from Caches」章参照。 [HTTP-CACHING]
    
    HTTPによりVaryヘッダーも考慮されます。
  2. storedResponseがnullでなければ：
    1. cache modeが"default"、かつstoredResponseがstale-while-revalidate response、かつhttpRequestのclientがnullでなければ：
      1. responseにstoredResponseを設定する。
      2. responseのcache stateを"local"に設定する。
      3. revalidateRequestにrequestのクローンを設定する。
      4. revalidateRequestのcache modeを"no-cache"に設定する。
      5. revalidateRequestのprevent no-cache cache-control header modification flagを設定する。
      6. revalidateRequestのservice-workers modeを"none"に設定する。
      7. 並列で新しいfetch params（request:revalidateRequest）でメインフェッチを実行する。
        
        このフェッチはhttpCacheの状態更新のみが目的で、現在のリクエストへのレスポンスとしては利用されません。クライアント文脈で発行されるため、クライアントが消失すればリクエストも終了します。
    2. それ以外の場合：
      1. storedResponseがstale responseならrevalidatingFlagを設定する。
      2. revalidatingFlagが設定済み、かつhttpRequestのcache modeが"force-cache"でも"only-if-cached"でもない場合：
        
        storedResponseのheader listがETagを含む場合、If-None-Match（value:ETagの値）をhttpRequestのheader listに追加する。
        
        storedResponseのheader listがLast-Modifiedを含む場合、If-Modified-Since（value:Last-Modifiedの値）をhttpRequestのheader listに追加する。
        
        詳細はHTTPキャッシュの「Sending a Validation Request」章参照。 [HTTP-CACHING]
      3. それ以外の場合、responseにstoredResponseを設定し、responseのcache stateを"local"に設定する。
もし中断された場合、fetchParamsに対して適切なネットワークエラーを返す。
responseがnullなら：
1. httpRequestのcache modeが"only-if-cached"ならネットワークエラーを返す。
2. forwardResponseにHTTPネットワークフェッチ（httpFetchParams、includeCredentials、isNewConnectionFetch）の結果を設定する。
3. httpRequestのmethodがunsafeで、forwardResponseのstatusが200〜399なら、httpCache内の適切な保存レスポンスをHTTPキャッシュ「Invalidating Stored Responses」章に従い無効化し、storedResponseをnullに設定する。 [HTTP-CACHING]
4. revalidatingFlagが設定済み、かつforwardResponseのstatusが304なら：
  1. storedResponseのheader listをforwardResponseのheader listで更新する。詳細はHTTPキャッシュ「Freshening Stored Responses upon Validation」章参照。 [HTTP-CACHING]
    
    キャッシュ内の保存レスポンスも更新されます。
  2. responseにstoredResponseを設定する。
  3. responseのcache stateを"validated"に設定する。
5. responseがnullなら：
  1. responseにforwardResponseを設定する。
  2. httpRequestとforwardResponseをHTTPキャッシュ「Storing Responses in Caches」章に従いhttpCacheに保存する。 [HTTP-CACHING]
    
    forwardResponseがネットワークエラーなら、これはいわゆる「ネガティブキャッシュ」としてエラーもキャッシュされます。
    
    関連するbody infoもレスポンスと一緒にキャッシュに保存されます。
responseのURLリストにhttpRequestのURLリストの複製を設定する。
httpRequestのheader listがRangeを含む場合、responseのrange-requested flagを設定する。
responseのrequest-includes-credentialsにincludeCredentialsを設定する。
responseのstatusが401、かつhttpRequestのresponse taintingが"cors"でなく、includeCredentialsがtrue、かつrequestのtraversable for user promptsがtraversable navigableの場合：
1. 要検証：複数WWW-Authenticateヘッダー、欠落、パース問題。
2. requestのbodyがnullでなければ：
  1. requestのbodyのsourceがnullならネットワークエラーを返す。
  2. requestのbodyにbody（安全抽出（requestのbodyのsource）の結果）を設定する。
3. requestのuse-URL-credentials flagが未設定、またはisAuthenticationFetchがtrueなら：
  1. fetchParamsがキャンセル済みならfetchParamsに対する適切なネットワークエラーを返す。
  2. usernameとpasswordにrequestのtraversable for user promptsでエンドユーザーに入力を促して取得する。
  3. set the username（requestのcurrent URL, username）を実行する。
  4. set the password（requestのcurrent URL, password）を実行する。
4. responseにHTTPネットワークまたはキャッシュフェッチ（fetchParams, true）を実行した結果を設定する。
responseのstatusが407の場合：
1. requestのtraversable for user promptsが"no-traversable"ならネットワークエラーを返す。
2. 要検証：複数Proxy-Authenticateヘッダー、欠落、パース問題。
3. fetchParamsがキャンセル済みならfetchParamsに対する適切なネットワークエラーを返す。
4. requestのtraversable for user promptsで適切にユーザー入力を促し、proxy-authentication entryとして保存する。[HTTP]
  
  プロキシ認証に関する追加詳細はHTTPで定義されています。
5. responseにHTTPネットワークまたはキャッシュフェッチ（fetchParams）の結果を設定する。
以下すべてがtrueの場合：
- responseのstatusが421
- isNewConnectionFetchがfalse
- requestのbodyがnull、またはrequestのbodyがnullでなくrequestのbodyのsourceがnullでない
この場合：
1. fetchParamsがキャンセル済みならfetchParamsに対する適切なネットワークエラーを返す。
2. responseにHTTPネットワークまたはキャッシュフェッチ（fetchParams、isAuthenticationFetch、true）の結果を設定する。
isAuthenticationFetchがtrueならrequestとrealmに対する認証エントリを作成する。
responseを返す。通常はresponseのbodyのstreamへのenqueueは返却後も継続している。

4.6. HTTPネットワークフェッチ

HTTPネットワークフェッチは、フェッチパラメータfetchParams、オプションのブール値includeCredentials（デフォルトfalse）、オプションのブール値forceNewConnection（デフォルトfalse）を指定して以下を実行します：

requestにfetchParamsのrequestを設定する。
responseをnullに設定する。
timingInfoにfetchParamsのタイミング情報を設定する。
networkPartitionKeyにネットワークパーティションキー決定（request）の結果を設定する。
newConnectionにforceNewConnectionがtrueなら"yes"、そうでなければ"no"を設定する。
requestのmodeに応じて分岐：

"websocket"

connectionにWebSocket接続取得（requestのcurrent URL）の結果を設定する。

それ以外

connectionに接続取得（networkPartitionKey、requestのcurrent URL、includeCredentials、newConnection）の結果を設定する。
以下の手順を実行するが、abort when fetchParamsがキャンセル済みの場合は中止する：
1. connectionが失敗ならネットワークエラーを返す。
2. timingInfoのfinal connection timing infoに接続タイミング情報のクランプ・粗化（connectionのtiming info、timingInfoのpost-redirect start time、fetchParamsのcross-origin isolated capability）の結果を設定する。
3. connectionがHTTP/1.x接続で、requestのbodyがnullでなく、かつrequestのbodyのsourceがnullならネットワークエラーを返す。
4. timingInfoのfinal network-request start timeに粗化された共有現在時刻（fetchParamsのcross-origin isolated capability）を設定する。
5. connection上でrequestを使ってHTTPリクエストを行い、responseを設定する。ただし下記の注意点あり：
  - HTTPの要件に従う。[HTTP] [HTTP-CACHING]
  - requestのbodyがnullでなく、かつrequestのbodyのsourceがnullなら、ユーザーエージェントは最大64KiBのバッファを持ち、requestのbodyの一部をそのバッファに格納してもよい。そのバッファサイズを超えて読み取りが必要で再送が必要な場合はネットワークエラーを返す。
    
    再送はタイムアウト等で必要になる場合がある。
    
    requestのbodyのsourceがnullでなければ再生成可能なのでバッファ不要。
    
    requestのbodyのsourceがnullの場合、bodyはReadableStreamから生成されているので再生成できずバッファが必要。
  - 以下を繰り返す：
    1. timingInfoのfinal network-response start timeに、ユーザーエージェントのHTTPパーサーがレスポンスの最初のバイト（例：HTTP/2ならフレームヘッダー、HTTP/1.xならステータス行）を受信した直後の粗化された共有現在時刻（fetchParamsのcross-origin isolated capability）を設定する。
    2. HTTPレスポンスヘッダー全ての送信完了まで待つ。
    3. statusにHTTPレスポンスのステータスコードを設定する。
    4. statusが100〜199なら：
      1. timingInfoのfirst interim network-response start timeが0なら、timingInfoのfirst interim network-response start timeにtimingInfoのfinal network-response start timeを設定する。
      2. requestのmodeが"websocket"かつstatusが101ならbreak。
      3. statusが103かつfetchParamsのprocess early hints responseがnullでなければ、fetchタスクをキューし、fetchParamsのprocess early hints responseをresponseで実行する。
      4. continue
      この種のHTTP応答は最終的に「最終」HTTP応答が後続します。
    5. break
  FetchとHTTPのレイヤリングは今後整理が必要で、この時点ではresponseが両方の意味を持ちます。
  
  HTTPリクエストがTLSクライアント証明書ダイアログを要求した場合：
  1. requestのtraversable for user promptsがtraversable navigableなら、そのダイアログをrequestのtraversable for user promptsで利用可能にする。
  2. それ以外の場合、ネットワークエラーを返す。
  requestのbody（body）の送信は以下の手順で実行：
  1. bodyがnullかつfetchParamsのprocess request end-of-bodyがnullでなければ、fetchタスクをキューし、fetchParamsのprocess request end-of-bodyをfetchParamsのtask destinationで実行する。
  2. それ以外でbodyがnullでなければ：
    1. processBodyChunk（bytes）で以下の手順：
      1. fetchParamsがキャンセル済みなら中止。
      2. 並列でbytesを送信。
      3. fetchParamsのprocess request body chunk lengthがnullでなければ、fetchParamsのprocess request body chunk lengthをbytesのlengthで実行。
    2. processEndOfBodyで以下の手順：
      1. fetchParamsがキャンセル済みなら中止。
      2. fetchParamsのprocess request end-of-bodyがnullでなければ、fetchParamsのprocess request end-of-bodyを実行。
    3. processBodyError（e）で以下の手順：
      1. fetchParamsがキャンセル済みなら中止。
      2. eが"AbortError"DOMExceptionならfetchParamsのcontrollerをabortする。
      3. それ以外の場合、fetchParamsのcontrollerをterminateする。
    4. incrementally readをrequestのbody（processBodyChunk、processEndOfBody、processBodyError、fetchParamsのtask destination）で実行。
もし中断された場合：
1. connectionがHTTP/2ならRST_STREAMフレームを送信。
2. fetchParamsに対する適切なネットワークエラーを返す。
bufferに空のバイト列を設定する。

これはユーザーエージェントのネットワーク層内部バッファを表します。
streamに新しい新規ReadableStreamを設定する。
pullAlgorithmに以下の手順を設定する：
1. promiseに新しいpromiseを設定する。
2. 並列で以下を実行：
  1. bufferのサイズがユーザーエージェント選択の下限より小さく、かつ進行中のフェッチが一時停止中なら再開する。
  2. bufferが空でなくなるまで待つ。
  3. fetchタスクをキューし、以下の手順をfetchParamsのtask destinationで実行：
    1. Pull from bytesでbufferをstreamに転送。
    2. streamがエラーならfetchParamsのcontrollerをterminateする。
    3. resolveでpromiseをundefinedで解決。
3. promiseを返す。
cancelAlgorithmにreasonを受け取ったときfetchParamsのcontrollerをabortするアルゴリズムを設定する。
byte読み取り対応でstreamセットアップを行い、pullAlgorithm、cancelAlgorithmを設定する。
responseのbodyに新しいbody（streamがstream）を設定する。
includeCredentialsがtrueなら、ユーザーエージェントはrequest・responseでSet-Cookieヘッダー解析・保存を行うべきです。
並列で以下を実行：
1. abort when fetchParamsがキャンセル済みの場合は中止しつつ以下を実行：
  1. 以下を繰り返す：
    1. responseのメッセージボディから1バイト以上送信された場合：
      1. bytesに送信済みバイトを設定。
      2. codingsにheader list値抽出（Content-Encoding、responseのheader list）の結果を設定。
      3. filteredCodingに"@unknown"を設定。
      4. codingsがnullまたは失敗ならfilteredCodingを空文字列に設定。
      5. それ以外でcodingsのsizeが1を超える場合filteredCodingを"multiple"に設定。
      6. それ以外でcodings[0]が空文字列か、ユーザーエージェントがサポートし、HTTP Content Coding Registryのエントリとバイト大文字小文字無視で一致する場合、filteredCodingにバイト小文字化（codings[0]）の結果を設定。 [IANA-HTTP-PARAMS]
      7. responseのbody infoのcontent encodingにfilteredCodingを設定。
      8. responseのbody infoのencoded sizeにbytesのlengthを加算。
      9. bytesにcontent codings処理（codings、bytes）の結果を設定。
        
        これによりContent-Lengthヘッダーは信頼性が下がります。
      10. responseのbody infoのdecoded sizeにbytesのlengthを加算。
      11. bytesが失敗ならfetchParamsのcontrollerをterminateする。
      12. bytesをbufferに追加。
      13. bufferのサイズがユーザーエージェント選択の上限を超えた場合、進行中のフェッチを一時停止要求。
    2. それ以外で、responseのメッセージボディ送信が正常終了しstreamがreadableなら、closeし、この並列手順を中止。
2. もし中断された場合：
  1. fetchParamsがabortedなら：
    1. responseのaborted flagを設定。
    2. streamがreadableなら、errorでstreamをfetchParamsのcontrollerのserialized abort reason・abort理由デシリアライズ（実装定義realm）でエラーに。
  2. それ以外でstreamがreadableなら、errorでTypeErrorのエラーに。
  3. connectionがHTTP/2ならRST_STREAMフレーム送信。
  4. それ以外の場合、パフォーマンス上悪くなければユーザーエージェントはconnectionをクローズすべき。
    
    例えば、再利用可能な接続で残り転送がごく少量の場合はクローズせず次のフェッチで再利用した方が良い場合もある。
この一連は並列で実行され、現時点ではresponseのbodyが有効か（リダイレクト等）不明なためです。
responseを返す。通常はresponseのbodyのstreamへのenqueueは返却後も継続しています。

4.7. CORSプリフライトフェッチ

これは、CORSプロトコルが理解されているかのチェックのユーザーエージェント実装に相当します。いわゆるCORSプリフライトリクエストです。成功した場合、CORSプリフライトキャッシュが更新され、これらのフェッチの回数を最小限にします。

CORSプリフライトフェッチは、リクエストrequestを指定して以下を実行します：

preflightを新しいリクエストとして生成し、methodは`OPTIONS`、URLリストはrequestのURLリストの複製、initiatorはrequestのinitiator、destinationはrequestのdestination、originはrequestのorigin、referrerはrequestのreferrer、referrer policyはrequestのreferrer policy、modeは"cors"、response taintingは"cors"で設定する。

preflightのservice-workers modeは重要ではありません。このアルゴリズムはHTTPネットワークまたはキャッシュフェッチを用い、HTTPフェッチは使いません。
Accept（`*/*`）をpreflightのheader listに追加する。
Access-Control-Request-Method（requestのmethod）をpreflightのheader listに追加する。
headersにrequestのheader listでのCORS安全でないリクエストヘッダー名を設定する。
headersが空でなければ：
1. valueにheaders内の各要素を`,`で区切った文字列を設定する。
2. Access-Control-Request-Headers（value）をpreflightのheader listに追加する。
これは意図的にcombineを使いません。0x2C後の0x20は実装通りではないためです。
responseに新しいfetch params（request: preflight）を使ってHTTPネットワークまたはキャッシュフェッチの結果を設定する。
CORSチェック（request, response）が成功し、responseのstatusがok statusなら：

CORSチェックはpreflightでなくrequestで行い、正しいcredentials modeを使うようにします。
1. methodsにheader list値抽出（Access-Control-Allow-Methods、responseのheader list）の結果を設定する。
2. headerNamesにheader list値抽出（Access-Control-Allow-Headers、responseのheader list）の結果を設定する。
3. methodsまたはheaderNamesが失敗ならネットワークエラーを返す。
4. methodsがnullかつrequestのuse-CORS-preflight flagがセットされていれば、methodsに新しいリスト（requestのmethod）を設定する。
  
  これはrequestのuse-CORS-preflight flagにより行われたCORSプリフライトフェッチがキャッシュされるようにします。
5. requestのmethodがmethodsに含まれず、requestのmethodがCORS安全リストメソッドでなく、かつrequestのcredentials modeが"include"、またはmethodsに`*`が含まれていなければネットワークエラーを返す。
6. requestのheader listのいずれかの名がCORS非ワイルドカードリクエストヘッダー名で、かつheaderNamesのいずれのitemともバイト大文字小文字無視で一致しないならネットワークエラーを返す。
7. 各unsafeName（requestのheader listでのCORS安全でないリクエストヘッダー名）について、unsafeNameがheaderNames内のいずれのitemともバイト大文字小文字無視で一致せず、かつrequestのcredentials modeが"include"、またはheaderNamesに`*`が含まれていなければネットワークエラーを返す。
8. max-ageにheader list値抽出（Access-Control-Max-Age、responseのheader list）の結果を設定する。
9. max-ageが失敗またはnullならmax-ageを5に設定する。
10. max-ageが最大有効期間の上限を超えていればmax-ageを上限に設定する。
11. ユーザーエージェントがキャッシュを提供しない場合、responseを返す。
12. methods内でrequestを使ったメソッドキャッシュエントリ一致がある各methodについて、対応するエントリのmax-ageをmax-ageに設定する。
13. methods内でrequestを使ったメソッドキャッシュエントリ一致がない各methodについて、新規キャッシュエントリ作成（request、max-age、method、null）を実行する。
14. headerNames内でrequestを使ったヘッダー名キャッシュエントリ一致がある各headerNameについて、対応するエントリのmax-ageをmax-ageに設定する。
15. headerNames内でrequestを使ったヘッダー名キャッシュエントリ一致がない各headerNameについて、新規キャッシュエントリ作成（request、max-age、null、headerName）を実行する。
16. responseを返す。
それ以外の場合、ネットワークエラーを返す。

4.8. CORSプリフライトキャッシュ

ユーザーエージェントは関連付けられたCORSプリフライトキャッシュを持ちます。 CORSプリフライトキャッシュは、リストであり、キャッシュエントリのリストです。

キャッシュエントリは以下から構成されます：

キー（ネットワークパーティションキー）
バイト列化オリジン（バイト列）
URL（URL）
max-age（秒数）
credentials（ブール値）
method（null、`*`、またはメソッド）
header name（null、`*`、またはヘッダー名）

キャッシュエントリは、 max-ageフィールドで指定された秒数が保存から経過した後に削除されなければなりません。キャッシュエントリは、その時刻より前に削除される場合もあります。

新しいキャッシュエントリの作成は、request、max-age、method、headerNameを受け取り、以下を実行します：

entryにキャッシュエントリとして、以下のように初期化する：

キー

ネットワークパーティションキー決定（request）の結果

バイト列化オリジン

リクエストオリジンのバイト列化（request）の結果

URL

requestのcurrent URL

max-age

max-age

credentials

requestのcredentials modeが"include"のときtrue、そうでなければfalse

method

method

header name

headerName
entryを追加をユーザーエージェントのCORSプリフライトキャッシュに実行する。

キャッシュエントリのクリアは、requestを受け取り、削除をユーザーエージェントのCORSプリフライトキャッシュ内の以下の条件を満たすキャッシュエントリに対して実行する：キーがネットワークパーティションキー決定（request）の結果と一致し、バイト列化オリジンがリクエストオリジンのバイト列化（request）の結果と一致し、 URLが requestのcurrent URLと一致する。

キャッシュエントリ一致は、キャッシュエントリentryとrequestについて、以下が成立する場合に一致する： entryのキーがネットワークパーティションキー決定（request）の結果と一致し、 entryのバイト列化オリジンがリクエストオリジンのバイト列化（request）の結果と一致し、 entryのURLが requestのcurrent URLと一致し、かつ以下のいずれかが成立する場合：

entryのcredentialsがtrue
entryのcredentialsがfalseかつrequestの credentials modeが"include"でない

が成立する。

メソッドキャッシュエントリ一致は、 methodとrequestについて、ユーザーエージェントのCORSプリフライトキャッシュ内にキャッシュエントリ一致を満たし、methodが methodまたは`*`であるキャッシュエントリが存在する場合。

ヘッダー名キャッシュエントリ一致は、 headerNameとrequestについて、ユーザーエージェントのCORSプリフライトキャッシュ内にキャッシュエントリ一致を満たし、かつ以下のいずれかが成立するキャッシュエントリが存在する場合：

そのheader nameがheaderNameとバイト大文字小文字無視で一致する
そのheader nameが`*`で、かつheaderNameがCORS非ワイルドカードリクエストヘッダー名でない

が成立する。

4.9. CORSチェック

CORSチェックは、requestとresponseについて以下を実行します：

originに取得（`Access-Control-Allow-Origin`、responseのheader list）の結果を設定する。
originがnullならfailureを返す。

nullは`null`文字列ではありません。
requestのcredentials modeが"include"でなく、originが`*`ならsuccessを返す。
リクエストオリジンのバイト列化（request）の結果がoriginと一致しなければfailureを返す。
requestのcredentials modeが"include"でなければsuccessを返す。
credentialsに取得（`Access-Control-Allow-Credentials`、responseのheader list）の結果を設定する。
credentialsが`true`ならsuccessを返す。
failureを返す。

4.10. TAOチェック

TAOチェックは、requestとresponseについて以下を実行します：

アサート：requestのoriginが"client"でないこと。
requestのtiming allow failed flagがセットされていればfailureを返す。
valuesに取得・デコード・分割（`Timing-Allow-Origin`、responseのheader list）の結果を設定する。
valuesが`*`を含むならsuccessを返す。
valuesがリクエストオリジンのシリアライズ（request）の結果を含むならsuccessを返す。
requestのmodeが"navigate"で、requestのcurrent URLのoriginがrequestのoriginと同一オリジンでなければfailureを返す。

これは入れ子ナビゲーションのために必要です。この場合、requestのoriginはコンテナドキュメントのoriginとなり、TAOチェックは失敗します。ナビゲーションタイミングはTAOチェックの結果を検証しないため、入れ子ドキュメントは完全なタイミング情報にアクセスできますが、コンテナドキュメントはできません。
requestのresponse taintingが"basic"ならsuccessを返す。
failureを返す。

4.11. 遅延フェッチ

遅延フェッチは、呼び出し元がフェッチの実行時点をできるだけ遅く、つまりフェッチグループが終了される時、またはタイムアウト後などに呼び出すことを可能にします。

遅延フェッチタスクソースは、遅延フェッチの結果を更新するために使用されるタスクソースです。ユーザーエージェントは、このタスクソースのタスクを、他のタスクソース、特にスクリプト実行につながるDOM操作タスクソース等よりも優先して実行し、fetchLater()呼び出しの最新状態がそれに依存するスクリプトの実行前に反映されるようにしなければなりません。

遅延フェッチをキューするには、リクエストrequest、nullまたはDOMHighResTimeStampactivateAfter、そして引数なしのアルゴリズムonActivatedWithoutTerminationを指定して以下の手順を実行します：

クライアントからリクエストを設定（request）を実行する。
requestのservice-workers modeを"none"に設定する。
requestのkeepaliveをtrueに設定する。
deferredRecordに新しい遅延フェッチレコード（requestがrequest、notify invokedがonActivatedWithoutTermination）を設定する。
deferredRecordを追加をrequestのclientのfetch groupのdeferred fetch recordsに実行する。
activateAfterがnullでなければ、以下の手順を並列で実行する：
1. ユーザーエージェントは以下いずれかの条件を満たすまで待つべきである：
  - activateAfterミリ秒以上経過した場合
  - ユーザーエージェントがスクリプト実行機会を失うと考えられる場合（例：ブラウザがバックグラウンドに移動した場合や、requestのclientのglobal objectがWindowで、その関連付けられたドキュメントのvisibility stateが"hidden"で長時間続いている場合など）
2. deferredRecordの処理を実行する。
deferredRecordを返す。

総リクエスト長計算は、リクエストrequestに対して以下を実行する：

totalRequestLengthにrequestのURLを直列化（exclude fragmentはtrue）した文字列の長さを設定する。
totalRequestLengthにrequestのreferrerを直列化した文字列の長さを加算する。
各(name, value)（requestのheader listの要素）について、totalRequestLengthにnameの長さ＋valueの長さを加算する。
totalRequestLengthにrequestのbodyのlengthを加算する。
totalRequestLengthを返す。

遅延フェッチ群の処理は、フェッチグループfetchGroupに対して以下を実行する：

各 deferred fetch recorddeferredRecord（fetchGroupのdeferred fetch recordsの要素）について、遅延フェッチの処理（deferredRecord）を実行する。

遅延フェッチの処理はdeferredRecordに対して以下を実行します：

deferredRecordのinvoke stateが"pending"でなければreturnする。
deferredRecordのinvoke stateを"sent"に設定する。
フェッチ（deferredRecordのrequest）を実行する。
グローバルタスクをキューし、遅延フェッチタスクソース上で、deferredRecordのrequestのclientのglobal object上でdeferredRecordのnotify invokedを実行する。

4.11.1. 遅延フェッチのクォータ

この節は非規範的です。

遅延フェッチのクォータはトップレベル遷移可能（タブ）に割り当てられ、合計で640キビバイトです。トップレベル文書とその同一オリジンの直接ネスト文書は、このクォータを使って遅延フェッチをキューできます。また、パーミッションポリシーを使って一部をクロスオリジンのネスト文書へ委譲できます。

デフォルトでは、この640キビバイトのうち128キビバイトがクロスオリジンネスト文書への委譲用に割り当てられ、各文書は8キビバイトを予約します。

トップレベルの文書は、その後のネスト文書とともに、パーミッションポリシーを通じてクロスオリジン子文書へのクォータ委譲量を制御できます。デフォルトでは、"deferred-fetch-minimal"ポリシーは任意のオリジンで有効であり、"deferred-fetch"はトップレベル文書のオリジンだけで有効です。特定のオリジンやネスト文書に対して"deferred-fetch"ポリシーを緩和すれば、そのネスト文書へ最大64キビバイトを割り当てることが可能です。また、"deferred-fetch-minimal"ポリシーを特定のオリジンやネスト文書に対して制限することで、その文書がデフォルトで受け取る8キビバイトの予約を防ぐこともできます。トップレベル文書自身に対して"deferred-fetch-minimal"ポリシーを無効にすると、委譲された128キビバイトが元の640キビバイトプールに戻ります。

ある文書に割り当てられたクォータのうち、同じレポートオリジン（requestのURLのorigin）に同時利用できるのは64キビバイトまでです。これにより、特定のサードパーティライブラリがデータ送信前にクォータを機会主義的に予約するのを防ぎます。

以下のいずれかのfetchLater()呼び出しは、リクエスト自体がレポートオリジンに割り当てられた64キビバイトクォータを超えるためthrowされます。リクエストのサイズはURL自体、body、header list、referrerを含みます。

fetchLater(a_72_kb_url);
fetchLater("https://origin.example.com", {headers: headers_exceeding_64kb});
fetchLater(a_32_kb_url, {headers: headers_exceeding_32kb});
fetchLater("https://origin.example.com", {method: "POST", body: body_exceeding_64_kb});
fetchLater(a_62_kb_url /* with a 3kb referrer */);

次のシーケンスでは、最初の2つのリクエストは成功しますが、3つ目はthrowされます。最初の2回の呼び出しでは全体の640キビバイトクォータは超えていませんが、3つ目のリクエストはhttps://a.example.comのレポートオリジンクォータを超えるためthrowされます。

fetchLater("https://a.example.com", {method: "POST", body: a_64kb_body});
fetchLater("https://b.example.com", {method: "POST", body: a_64kb_body});
fetchLater("https://a.example.com");

同一オリジンのネスト文書は親のクォータを共有します。しかし、クロスオリジンやクロスエージェントiframeはデフォルトで8キビバイトしか割り当てられません。従って、以下の例では最初の3回の呼び出しは成功し、最後はthrowされます。

// メインページ内
fetchLater("https://a.example.com", {method: "POST", body: a_64kb_body});

// 同一オリジンのネスト文書内
fetchLater("https://b.example.com", {method: "POST", body: a_64kb_body});

// https://fratop.example.com のクロスオリジンネスト文書内
fetchLater("https://a.example.com", {body: a_5kb_body});
fetchLater("https://a.example.com", {body: a_12kb_body});

前述の例でthrowされないようにするには、トップレベル文書が例えば以下のヘッダーを送信してhttps://fratop.example.comへクォータを委譲します：

Permissions-Policy: deferred-fetch=(self "https://fratop.example.com")

各ネスト文書は自身のクォータを予約します。したがって、下記のように各フレームが8キビバイトずつ予約するため動作します：

// https://fratop.example.com/frame-1 のクロスオリジンネスト文書内
fetchLater("https://a.example.com", {body: a_6kb_body});

// https://fratop.example.com/frame-2 のクロスオリジンネスト文書内
fetchLater("https://a.example.com", {body: a_6kb_body});

以下のツリーは異なるネスト文書にクォータがどのように分配されるかを示します：

https://top.example.com（Permissions-policy: deferred-fetch=(self "https://ok.example.com")が設定されている）
- https://top.example.com/frame：トップレベル遷移可能と同じオリジンなのでクォータを共有する。
  - https://x.example.com：8キビバイトを受け取る。
- https://x.example.com：8キビバイトを受け取る。
  - https://top.example.com：0。同一オリジンだがクロスオリジンの中間層があるため自動でクォータは共有されない。
- https://ok.example.com/good："deferred-fetch"ポリシーによって64キビバイトを受け取る。
  - https://x.example.com：クォータなし。トップレベル遷移可能と同一オリジンのみが"deferred-fetch-minimal"ポリシーにより8キビバイトを付与できる。
- https://ok.example.com/redirectからhttps://x.example.comへ遷移：クォータなし。https://ok.example.com用に予約された64キビバイトはhttps://x.example.comでは利用不可。
- https://ok.example.com/backからhttps://top.example.comへ戻る：同一オリジンなのでトップレベル遷移可能とクォータを共有する。

上記の例では、トップレベル遷移可能とその同一オリジンの子孫は384キビバイトのクォータを共有します。その値は以下のように計算されます：

640キビバイトが最初にトップレベル遷移可能に付与される。
128キビバイトが"deferred-fetch-minimal"ポリシー用に予約される。
64キビバイトがhttps://ok.example/goodへの遷移用に予約される。
64キビバイトがhttps://ok.example/redirectへの遷移用に予約され、遷移時に失われる。
https://ok.example.com/backは64キビバイトを予約しない。なぜならトップレベル遷移可能のオリジンに戻ったため。
640 − 128 − 64 − 64 = 384キビバイト。

この仕様は、文字列"deferred-fetch"で識別されるポリシー制御機能を定義します。そのデフォルト許可リストは"self"です。

この仕様は、文字列"deferred-fetch-minimal"で識別されるポリシー制御機能を定義します。そのデフォルト許可リストは"*"です。

deferred-fetch-minimal用に予約されたクォータは128キビバイトです。

各ナビゲーション可能コンテナは関連付けられた数値遅延フェッチ用予約クォータを持ちます。その値はミニマルクォータ（8キビバイト）、ノーマルクォータ（0または64キビバイト）。特に記載がない場合は0です。

利用可能な遅延フェッチクォータを、document document と、origin-または-null の origin を指定して取得するには：

controlDocumentにdocumentの遅延フェッチ制御文書を設定する。
navigableにcontrolDocumentのノード遷移可能を設定する。
isTopLevelにcontrolDocumentのノード遷移可能がトップレベル遷移可能ならtrue、そうでなければfalseを設定する。
deferredFetchAllowedにcontrolDocumentが"deferred-fetch"ポリシー制御機能の利用を許可されていればtrue、そうでなければfalseを設定する。
deferredFetchMinimalAllowedにcontrolDocumentが"deferred-fetch-minimal"ポリシー制御機能の利用を許可されていればtrue、そうでなければfalseを設定する。
quotaに最初に一致する条件の結果を設定する：

isTopLevelがtrueかつdeferredFetchAllowedがfalse
0
isTopLevelがtrueかつdeferredFetchMinimalAllowedがfalse

640キビバイト

640kbはみんなに十分なはずです。

isTopLevelがtrue

512キビバイト

デフォルト640キビバイトからdeferred-fetch-minimal用予約クォータ分を減算した値

deferredFetchAllowedがtrueかつnavigableのナビゲーション可能コンテナの遅延フェッチ用予約クォータがノーマルクォータ
ノーマルクォータ
deferredFetchMinimalAllowedがtrueかつnavigableのナビゲーション可能コンテナの遅延フェッチ用予約クォータがミニマルクォータ
ミニマルクォータ
それ以外
0
quotaForRequestOriginに64キビバイトを設定する。
各navigable（controlDocumentのノード遷移可能の包括的子孫遷移可能で、アクティブ文書の遅延フェッチ制御文書がcontrolDocumentであるもの）について：
1. 各container（navigableのアクティブ文書のshadow-including包括的子孫のうちナビゲーション可能コンテナ）について、quotaからcontainerの遅延フェッチ用予約クォータを減算する。
2. 各 deferred fetch recorddeferredRecord（navigableのアクティブ文書の関連設定オブジェクトのfetch groupのdeferred fetch records）について：
  1. requestLengthにdeferredRecordのrequestの総リクエスト長を設定する。
  2. quotaからrequestLengthを減算する。
  3. deferredRecordのrequestのURLのoriginがoriginと同一オリジンであれば、quotaForRequestOriginからrequestLengthを減算する。
quotaが0以下なら0を返す。
quotaがquotaForRequestOrigin未満ならquotaを返す。
quotaForRequestOriginを返す。

遅延フェッチクォータの予約は、ナビゲーション可能コンテナcontainerとoriginoriginToNavigateToを指定して以下を実行します：

これはナビゲーション時、ナビゲーション元文書がnavigableの親文書である場合に呼ばれます。パーミッションポリシーで許可されていれば、コンテナおよびそのナビゲーション可能要素に最大64kbまたは8kbのクォータを予約します。予約されたクォータが実際に使われたかどうかはコンテナ文書から観測できません。このアルゴリズムは、コンテナの文書がナビゲート先コンテナにクォータを委譲する可能性があると仮定し、予約されたクォータはその場合のみ適用され、共有されることになった場合は無視されます。クォータが予約され、その文書が親と同一オリジンとなった場合、クォータは解放されます。

containerの遅延フェッチ用予約クォータを0に設定する。
controlDocumentにcontainerのノード文書の遅延フェッチ制御文書を設定する。
"deferred-fetch" の継承ポリシー（container, originToNavigateTo）が"Enabled"であり、controlDocumentの利用可能な遅延フェッチクォータがノーマルクォータ以上であれば、containerの遅延フェッチ用予約クォータをノーマルクォータに設定してreturnする。
以下すべてが真の場合：
- controlDocumentのノード遷移可能がトップレベル遷移可能である
- "deferred-fetch-minimal" の継承ポリシー（container, originToNavigateTo）が"Enabled"である
- controlDocumentのノード遷移可能の子孫遷移可能（除外：コンテナのnavigable containerの遅延フェッチ用予約クォータがミニマルクォータでないものを除外）のサイズが、deferred-fetch-minimal用予約クォータ / ミニマルクォータより小さい
この場合、containerの遅延フェッチ用予約クォータをミニマルクォータに設定する。

遅延フェッチクォータの解放（可能性あり）は、文書documentに対して、documentのノード遷移可能のコンテナ文書がnullでなく、かつそのoriginがdocumentと同一オリジンであれば、documentのノード遷移可能のnavigable containerの遅延フェッチ用予約クォータを0に設定する。

これは文書が生成されたときに呼ばれます。同一オリジンのネスト文書は親クォータを共有するため予約しません。これは文書生成時のみ呼ばれ、originはリダイレクト処理後にのみ判明するためです。

遅延フェッチ制御文書の取得は、文書documentについて以下を実行する：

documentのノード遷移可能のコンテナ文書がnullまたは、文書で、そのoriginがdocumentと同一オリジンでなければ、documentを返し、それ以外の場合はdocumentのノード遷移可能のコンテナ文書について再帰的に遅延フェッチ制御文書の取得を実行する。

5. Fetch API（フェッチAPI）

fetch()メソッドは、リソースの取得のための比較的低レベルなAPIです。現行標準ではXMLHttpRequestよりも少し広い範囲をカバーしますが、リクエスト進行状況（レスポンス進行状況ではなく）の点ではまだ不十分です。

fetch()メソッドは、リソースを取得してその内容をBlobとして抽出するのを非常に簡単にします：

fetch("/music/pk/altes-kamuffel.flac")
  .then(res => res.blob()).then(playBlob)

特定のレスポンスヘッダーだけを記録したい場合：

fetch("/", {method:"HEAD"})
  .then(res => log(res.headers.get("strict-transport-security")))

クロスオリジンリソースの特定のレスポンスヘッダーを確認し、そのあとレスポンスを処理したい場合：

fetch("https://pk.example/berlin-calling.json", {mode:"cors"})
  .then(res => {
    if(res.headers.get("content-type") &&
       res.headers.get("content-type").toLowerCase().indexOf("application/json") >= 0) {
      return res.json()
    } else {
      throw new TypeError()
    }
  }).then(processJSON)

URLクエリパラメータを扱いたい場合：

var url = new URL("https://geo.example.org/api"),
    params = {lat:35.696233, long:139.570431}
Object.keys(params).forEach(key => url.searchParams.append(key, params[key]))
fetch(url).then(/* … */)

ボディデータを逐次受信したい場合：

function consume(reader) {
  var total = 0
  return pump()
  function pump() {
    return reader.read().then(({done, value}) => {
      if(done) {
        return
      }
      total += value.byteLength
      log(`received ${value.byteLength} bytes (${total} bytes in total)`)
      return pump()
    })
  }
}

fetch("/music/pk/altes-kamuffel.flac")
  .then(res => consume(res.body.getReader()))
  .then(() => log("全データをメモリに保持せずにボディ全体を消費しました！"))
  .catch(e => log("何か問題が発生しました: " + e))

5.1. Headersクラス

typedef (sequence<sequence<ByteString>> or record<ByteString, ByteString>) HeadersInit;

[Exposed=(Window,Worker)]
interface Headers {
  constructor(optional HeadersInit init);

  undefined append(ByteString name, ByteString value);
  undefined delete(ByteString name);
  ByteString? get(ByteString name);
  sequence<ByteString> getSetCookie();
  boolean has(ByteString name);
  undefined set(ByteString name, ByteString value);
  iterable<ByteString, ByteString>;
};

Headersオブジェクトは、関連付けられたヘッダーリスト（header list）を持ち、初期状態は空です。これは、他のオブジェクト（例：request）のheader listへのポインタとなることもあります。

Headersオブジェクトには、さらに関連付けられたガード（headers guard）があります。headers guardは、"immutable"、"request"、"request-no-cors"、"response"、"none"のいずれかです。

headers = new Headers([init])

新しいHeadersオブジェクトを生成します。initで内部のヘッダーリストを初期化できます（下記例参照）。

const meta = { "Content-Type": "text/xml", "Breaking-Bad": "<3" };
new Headers(meta);

// 上記と同等
const meta2 = [
  [ "Content-Type", "text/xml" ],
  [ "Breaking-Bad", "<3" ]
];
new Headers(meta2);

headers . append(name, value)

headersにヘッダーを追加します。

headers . delete(name)

headersからヘッダーを削除します。

headers . get(name)

nameと一致する全ヘッダー値を、カンマ＋スペース区切りで文字列として返します。

headers . getSetCookie()

`Set-Cookie`名の全ヘッダー値リストを返します。

headers . has(name)

nameという名前のヘッダーが存在するかどうかを返します。

headers . set(name, value)

最初に一致したnameのヘッダー値をvalueに置換し、残りの同名ヘッダーは削除します。

for(const [name, value] of headers)

headersは反復処理可能です。

バリデート（ヘッダー（name, value））をHeadersオブジェクトheadersに対して行うには：

nameがヘッダー名でない、またはvalueがヘッダー値でない場合、TypeError例外を投げる。
headersのガードが"immutable"なら、TypeError例外を投げる。
headersのガードが"request"かつ（name, value）が禁止リクエストヘッダーなら、falseを返す。
headersのガードが"response"かつnameが禁止レスポンスヘッダー名なら、falseを返す。
trueを返す。

"request-no-cors"の手順は共有されません。なぜならCORS安全リストリクエストヘッダーに対して常に成功する偽の値（delete()用）を持つことができないためです。

追加（ヘッダー（name, value））をHeadersオブジェクトheadersに対して行うには、以下を実行する：

valueを正規化する。
バリデート（name, value）がheadersでfalseなら、returnする。
headersのガードが"request-no-cors"なら：
1. temporaryValueにheadersのheader listからnameを取得した結果を設定する。
2. temporaryValueがnullなら、temporaryValueをvalueに設定する。
3. それ以外の場合、temporaryValueをtemporaryValue＋「, 」＋valueに設定する。
4. （name, temporaryValue）がno-CORS安全リストリクエストヘッダーでない場合、returnする。
追加（name, value）をheadersのheader listに対して実行する。
headersのガードが"request-no-cors"なら、特権no-CORSリクエストヘッダーの削除をheadersに対して実行する。

fill（Headersオブジェクトheaders、与えられたオブジェクトobject）は以下を実行する：

objectがsequenceなら、各header（objectの要素）について：
1. headerのsizeが2でなければ、TypeError例外を投げる。
2. 追加（header[0], header[1]）をheadersに対して実行する。
それ以外の場合、objectがrecordなら、各key→value（objectの要素）について、追加（key, value）をheadersに対して実行する。

特権no-CORSリクエストヘッダーの削除（Headersオブジェクト（headers））は以下を実行する：

各headerName（特権no-CORSリクエストヘッダー名）について：
1. 削除（headerName）をheadersのheader listに対して実行する。

これは、特権のないコードによってヘッダーが変更された時に呼ばれます。

new Headers(init) コンストラクタの手順は次の通りです：

thisのガードを"none"に設定する。
initが与えられていれば、fill（this、init）を実行する。

append(name, value) メソッドの手順は、追加（name, value）をthisに対して行うこと。

delete(name)メソッドの手順は以下の通りです：

バリデート（name, ``）がthisでfalseなら、returnする。

ダミーのヘッダー値を渡しても悪影響はありません。
thisのガードが"request-no-cors"、かつnameがno-CORS安全リストリクエストヘッダー名でも特権no-CORSリクエストヘッダー名でもない場合、returnする。
thisのheader listがnameを含まない場合、returnする。
削除（name）をthisのheader listに対して実行する。
thisのガードが"request-no-cors"なら、特権no-CORSリクエストヘッダーの削除をthisに対して実行する。

get(name)メソッドの手順は以下の通りです：

nameがヘッダー名でない場合、TypeError例外を投げる。
nameを取得（thisのheader listから）し、その結果を返す。

getSetCookie()メソッドの手順は以下の通りです：

thisのheader listが`Set-Cookie`を含まない場合、« »を返す。
値（thisのheader listのうち、nameが`Set-Cookie`とバイト大文字小文字無視で一致するヘッダー）の値を順序通り返す。

has(name)メソッドの手順は以下の通りです：

nameがヘッダー名でない場合、TypeError例外を投げる。
thisのheader listがnameを含むならtrue、そうでなければfalseを返す。

set(name, value) メソッドの手順は以下の通りです：

valueを正規化する。
バリデート（name, value）がthisでfalseなら、returnする。
thisのガードが"request-no-cors"かつ（name, value）がno-CORS安全リストリクエストヘッダーでない場合、returnする。
セット（name, value）をthisのheader listに対して実行する。
thisのガードが"request-no-cors"なら、特権no-CORSリクエストヘッダーの削除をthisに対して実行する。

反復対象の値ペアは、ソートおよび結合（thisのheader list）の実行結果です。

5.2. BodyInit ユニオン型

typedef (Blob or BufferSource or FormData or URLSearchParams or USVString) XMLHttpRequestBodyInit;

typedef (ReadableStream or XMLHttpRequestBodyInit) BodyInit;

安全抽出は、型付きbodyをバイト列またはBodyInitオブジェクトobjectから抽出するための手順です：

objectがReadableStream オブジェクトなら：
1. アサート：objectはdisturbedでもlockedでもないこと。
extract（object）の結果を返す。

安全抽出操作は、例外を投げないことが保証されるextract操作のサブセットです。

extractは、型付きbodyをバイト列またはBodyInitオブジェクトobjectから抽出するための手順です。オプションのブール値 keepalive（デフォルトfalse）を受け取ります：

streamをnullに設定する。
objectがReadableStream オブジェクトなら、streamにobjectを設定する。
それ以外でobjectがBlob オブジェクトなら、streamにobjectのget streamの結果を設定する。
それ以外の場合、streamに新しいReadableStreamオブジェクトを設定し、バイト読み取り対応でセットアップする。
アサート：streamはReadableStreamオブジェクトであること。
actionをnullに設定する。
sourceをnullに設定する。
lengthをnullに設定する。
typeをnullに設定する。
objectの型によって分岐：

Blob

sourceにobjectを設定する。

lengthにobjectのsize属性値を設定する。

objectのtype属性値が空でなければ、typeにその値を設定する。

バイト列

sourceにobjectを設定する。

BufferSource

sourceにobjectが保持するバイトのコピーを設定する。

FormData

actionに次の手順：multipart/form-dataエンコーディングアルゴリズムをobjectのentry listとUTF-8で実行する、を設定する。

sourceにobjectを設定する。

lengthに未確定、詳細は html/6424参照を設定する。

typeに`multipart/form-data; boundary=`＋multipart/form-data境界文字列（multipart/form-dataエンコーディングアルゴリズムで生成）を設定する。

URLSearchParams

sourceにapplication/x-www-form-urlencodedシリアライザ（objectのlistを使う）を実行した結果を設定する。

typeに`application/x-www-form-urlencoded;charset=UTF-8`を設定する。

スカラー値文字列

sourceにUTF-8エンコード（object）の結果を設定する。

typeに`text/plain;charset=UTF-8`を設定する。

ReadableStream

keepaliveがtrueなら、TypeError例外を投げる。

objectがdisturbedまたはlockedなら、TypeError例外を投げる。
sourceがバイト列なら、actionに「sourceを返す」手順を設定し、lengthにsourceのlengthを設定する。
actionがnullでなければ、以下の手順を並列で実行する：
1. actionを実行する。
  
  バイトが1つ以上利用可能になり、かつstreamがerroredでなければ、enqueue（利用可能なバイトからUint8Arrayを生成した結果、stream）を行う。
  
  actionが終了したら、close（stream）を行う。
bodyにbody（stream: stream, source: source, length: length）を設定する。
(body, type) を返す。

5.3. Bodyミックスイン

interface mixin Body {
  readonly attribute ReadableStream? body;
  readonly attribute boolean bodyUsed;
  [NewObject] Promise<ArrayBuffer> arrayBuffer();
  [NewObject] Promise<Blob> blob();
  [NewObject] Promise<Uint8Array> bytes();
  [NewObject] Promise<FormData> formData();
  [NewObject] Promise<any> json();
  [NewObject] Promise<USVString> text();
};

ネットワーク層が依存してほしくない形式、例えばHTMLなどはここで公開されることはありません。そうした形式は、将来的にHTMLパーサAPIがストリームを受け入れるようになる可能性があります。

Bodyインターフェースミックスインを含むオブジェクトは、関連付けられたbody（nullまたはbody）を持ちます。

Body インターフェースミックスインを含むオブジェクトは、その body が null でなく、かつその body の stream が乱されたまたはロック済みの場合、使用不可であると言う。

requestOrResponse . body: requestOrResponseのbodyをReadableStreamとして返します。
requestOrResponse . bodyUsed: requestOrResponseのbodyが既に読み取られたかどうかを返します。
requestOrResponse . arrayBuffer(): requestOrResponseのbodyをArrayBufferとして返すPromiseを返します。
requestOrResponse . blob(): requestOrResponseのbodyをBlobとして返すPromiseを返します。
requestOrResponse . bytes(): requestOrResponseのbodyをUint8Arrayとして返すPromiseを返します。
requestOrResponse . formData(): requestOrResponseのbodyをFormDataとして返すPromiseを返します。
requestOrResponse . json(): requestOrResponseのbodyをJSONとしてパースした結果を返すPromiseを返します。
requestOrResponse . text(): requestOrResponseのbodyを文字列として返すPromiseを返します。

MIMEタイプ取得は、RequestまたはResponseオブジェクトrequestOrResponseに対して以下を実行します：

headersをnullに設定する。
requestOrResponseがRequestオブジェクトなら、headersにrequestOrResponseのrequestのheader listを設定する。
それ以外の場合、headersにrequestOrResponseのresponseのheader listを設定する。
mimeTypeにMIMEタイプ抽出（headers）の結果を設定する。
mimeTypeが失敗ならnullを返す。
mimeTypeを返す。

bodygetterの手順は、thisのbodyがnullならnullを返し、そうでなければthisのbodyのstreamを返すこと。

bodyUsedgetterの手順は、thisのbodyがnullでなく、かつthisのbodyのstreamがdisturbedならtrue、そうでなければfalseを返すこと。

consume body アルゴリズムは、Bodyを含むオブジェクトobjectと、バイト列を受け取りJavaScript値を返す（または例外を投げる）アルゴリズムconvertBytesToJSValueを受け取り、以下を実行します：

objectが使用不可なら、TypeErrorでrejectされたpromiseを返す。
promiseに新しいpromiseを設定する。
errorSteps（error）にpromiseをerrorでrejectする手順を設定する。
successSteps（バイト列data）にpromiseをconvertBytesToJSValue（data）の結果でresolveする手順（例外ならerrorStepsを実行）を設定する。
objectのbodyがnullなら、空のバイト列でsuccessStepsを実行する。
それ以外なら、完全に読み取る（objectのbody、successSteps、errorSteps、objectの関連グローバルオブジェクト）を実行する。
promiseを返す。

arrayBuffer()メソッドの手順は、consume body（this、バイト列bytesの場合はArrayBuffer作成（bytes、thisの関連realm））を返すこと。

このメソッドはRangeErrorでrejectされる場合があります。

blob()メソッドの手順は、consume body（this、バイト列bytesの場合はBlob（内容：bytes、type属性：MIMEタイプ取得（this）））を返すこと。

bytes()メソッドの手順は、consume body（this、バイト列bytesの場合はUint8Array作成（bytes、thisの関連realm））を返すこと。

このメソッドはRangeErrorでrejectされる場合があります。

formData()メソッドの手順は、consume body（this、バイト列bytesの場合は以下の手順）を返すこと：

mimeTypeにMIMEタイプ取得（this）の結果を設定する。
mimeTypeがnullでなければ、mimeTypeのessenceごとに分岐する：
"multipart/form-data"
1. bytesをmimeTypeの`boundary`パラメータ値を使ってRFC7578の規則に従いパースする。
  
  `Content-Disposition`ヘッダーに`filename`パラメータを持つ各部品は、その内容からFileオブジェクトとしてパースされる。そのname属性はその`filename`パラメータ値、type属性は部品の`Content-Type`ヘッダー値（なければ`text/plain`）となる。
  
  `filename`を持たない部品は、UTF-8デコード（BOMなし）した内容としてパースされる（`Content-Type`や`charset`の有無・値は無視）。
  
  `Content-Disposition`ヘッダーに`name`パラメータが`_charset_`の場合でもエンコーディングは変わりません。
2. 何らかの理由で失敗した場合はTypeError例外を投げる。
3. パース結果の各エントリをFormDataオブジェクトのentry listに追加し新たなFormDataを返す。
上記は`multipart/form-data`に必要な処理の概略です。より詳細な仕様策定が必要です。協力者歓迎。
"application/x-www-form-urlencoded"
1. bytesをパースしentriesを得る。
2. entriesをentry listに持つ新しいFormDataオブジェクトを返す。
TypeError例外を投げる。

json()メソッドの手順は、consume body（this、JSONパース）を返すこと。

このメソッドはSyntaxErrorでrejectされる場合があります。

text()メソッドの手順は、consume body（this、UTF-8デコード）を返すこと。

5.4. Requestクラス

typedef (Request or USVString) RequestInfo;

[Exposed=(Window,Worker)]
interface Request {
  constructor(RequestInfo input, optional RequestInit init = {});

  readonly attribute ByteString method;
  readonly attribute USVString url;
  [SameObject] readonly attribute Headers headers;

  readonly attribute RequestDestination destination;
  readonly attribute USVString referrer;
  readonly attribute ReferrerPolicy referrerPolicy;
  readonly attribute RequestMode mode;
  readonly attribute RequestCredentials credentials;
  readonly attribute RequestCache cache;
  readonly attribute RequestRedirect redirect;
  readonly attribute DOMString integrity;
  readonly attribute boolean keepalive;
  readonly attribute boolean isReloadNavigation;
  readonly attribute boolean isHistoryNavigation;
  readonly attribute AbortSignal signal;
  readonly attribute RequestDuplex duplex;

  [NewObject] Request clone();
};
Request includes Body;

dictionary RequestInit {
  ByteString method;
  HeadersInit headers;
  BodyInit? body;
  USVString referrer;
  ReferrerPolicy referrerPolicy;
  RequestMode mode;
  RequestCredentials credentials;
  RequestCache cache;
  RequestRedirect redirect;
  DOMString integrity;
  boolean keepalive;
  AbortSignal? signal;
  RequestDuplex duplex;
  RequestPriority priority;
  any window; // can only be set to null
};

enum RequestDestination { "", "audio", "audioworklet", "document", "embed", "font", "frame", "iframe", "image", "json", "manifest", "object", "paintworklet", "report", "script", "sharedworker", "style",  "track", "video", "worker", "xslt" };
enum RequestMode { "navigate", "same-origin", "no-cors", "cors" };
enum RequestCredentials { "omit", "same-origin", "include" };
enum RequestCache { "default", "no-store", "reload", "no-cache", "force-cache", "only-if-cached" };
enum RequestRedirect { "follow", "error", "manual" };
enum RequestDuplex { "half" };
enum RequestPriority { "high", "low", "auto" };

"serviceworker"はRequestDestinationから省略されていますが、JavaScriptからは観測できません。実装はdestinationとしてサポートする必要があります。"websocket"はRequestModeから省略されていますが、JavaScriptから利用・観測できません。

Requestオブジェクトには関連付けられたrequest（request）があります。

Requestオブジェクトには、関連付けられたheaders（nullまたはHeadersオブジェクト、初期値はnull）があります。

Requestオブジェクトには、関連付けられたsignal（nullまたはAbortSignalオブジェクト、初期値はnull）があります。

Requestオブジェクトのbodyは、そのrequestのbodyです。

request = new Request(input [, init])

requestのurlプロパティは、inputが文字列の場合はその値、inputがRequestオブジェクトの場合はそのurlになります。

init引数は以下のようにプロパティを設定できるオブジェクトです：

method: 文字列でrequestのmethodを設定します。
headers: Headersオブジェクト、リテラルオブジェクト、または2要素配列の配列でrequestのheadersを設定します。
body: BodyInitオブジェクトまたはnullでrequestのbodyを設定します。
referrer: 同一オリジンのURL、"about:client"、または空文字列でrequestのreferrerを設定します。
referrerPolicy: referrer policyでrequestのreferrerPolicyを設定します。
mode: リクエストがCORSを使うか、同一オリジンに制限されるかを示す文字列。requestのmodeを設定します。inputが文字列の場合、デフォルトは"cors"です。
credentials: リクエストに認証情報を常に送るか、送らないか、同一オリジンのURLのみ送るか、またレスポンスの認証情報を常に使うか、使わないか、同一オリジンのレスポンスのみ使うかを示す文字列。requestのcredentialsを設定します。inputが文字列の場合、デフォルトは"same-origin"です。
cache: リクエストがブラウザのキャッシュとどうやり取りするかを示す文字列。requestのcacheを設定します。
redirect: リダイレクトに従うか、エラーにするか、リダイレクト（不透明な形）を返すかを示す文字列。requestのredirectを設定します。
integrity: 取得するリソースの暗号学的ハッシュ。requestのintegrityを設定します。
keepalive: グローバルが破棄されてもrequestが生き残れるかどうかを示す真偽値。requestのkeepaliveを設定します。
signal: AbortSignalでrequestのsignalを設定します。
window: nullのみ可。requestをWindowから切り離すのに使われます。
duplex: "half"のみ有効。ハーフデュプレックスフェッチ（リクエスト送信後にレスポンス処理）用。"full"は将来用で、フルデュプレックス（リクエスト送信中にレスポンス処理）用に予約されています。bodyがReadableStreamの場合は必須。"full"の仕様化はissue #1254参照。
priority: 文字列でrequestのpriorityを設定します。

request . method

requestのHTTPメソッドを返します（デフォルトは"GET"）。

request . url

requestのURLを文字列として返します。

request . headers

requestに関連付けられたHeadersオブジェクトを返します。ネットワーク層でユーザーエージェントが追加するヘッダー（例："Host"）はこのオブジェクトに含まれません。

request . destination

requestで要求されたリソース種別（例："document"や"script"）を返します。

request . referrer

requestのreferrerを返します。initで明示的に設定された場合は同一オリジンURL、空文字列はreferrerなし、"about:client"はグローバルのデフォルトを表します。フェッチ時にRefererヘッダー値の決定に使われます。

request . referrerPolicy

requestに関連付けられたreferrer policyを返します。フェッチ時にreferrer値の計算に使われます。

request . mode

requestに関連付けられたmode（CORS利用か同一オリジン限定かを示す文字列）を返します。

request . credentials

requestに関連付けられたcredentials mode（認証情報を常に送るか、送らないか、同一オリジンのみ送るか、を示す文字列）を返します。

request . cache

requestに関連付けられたcache mode（フェッチ時にブラウザキャッシュとどう連携するかを示す文字列）を返します。

request . redirect

requestに関連付けられたredirect mode（リダイレクトの扱い方を示す文字列）を返します。デフォルトではリダイレクトに従います。

request . integrity

requestのサブリソース整合性メタデータ（取得リソースの暗号学的ハッシュ。複数ハッシュは空白区切り）を返します。[SRI]

request . keepalive

requestが作成元グローバルより長生きできるかどうかを表す真偽値を返します。

request . isReloadNavigation

requestがリロードナビゲーションかどうかを表す真偽値を返します。

request . isHistoryNavigation

requestが履歴ナビゲーション（戻る・進む）かどうかを表す真偽値を返します。

request . signal

requestに関連付けられたsignal（AbortSignalオブジェクト。abort状態やabortイベントハンドラを示す）を返します。

request . duplex

"half"を返します（ハーフデュプレックス：リクエスト送信後にレスポンス処理）。将来的には"full"（フルデュプレックス：リクエスト送信中にレスポンス処理）も返す可能性があります。"full"の仕様化はissue #1254参照。

request . clone()

requestのクローンを返します。

Requestオブジェクトの作成は、Request オブジェクトを、request request、headers guard guard、 AbortSignal オブジェクトsignal、realm realmを指定して次の手順で作成します：

requestObjectにrealmで新しいRequestオブジェクトを生成する。
requestObjectのrequestをrequestに設定する。
requestObjectのheadersを、realmで新しいHeadersオブジェクト（headers listはrequestのheaders list、guardはguard）に設定する。
requestObjectのsignalをsignalに設定する。
requestObjectを返す。

new Request(input, init) コンストラクタの手順は次の通りです：

requestをnullに設定する。
fallbackModeをnullに設定する。
baseURLにthisのrelevant settings objectのAPI base URLを設定する。
signalをnullに設定する。
inputが文字列なら：
1. parsedURLにinputをbaseURLでパースした結果を設定する。
2. parsedURLが失敗ならTypeError例外を投げる。
3. parsedURLが認証情報を含むならTypeError例外を投げる。
4. requestにrequest（URLはparsedURL）を新規作成して設定する。
5. fallbackModeを"cors"に設定する。
それ以外の場合：
1. アサート：inputはRequestオブジェクトであること。
2. requestにinputのrequestを設定する。
3. signalにinputのsignalを設定する。
originにthisのrelevant settings objectのoriginを設定する。
traversableForUserPromptsを"client"に設定する。
requestのtraversable for user promptsがenvironment settings objectであり、そのoriginがoriginと同一オリジンなら、traversableForUserPromptsをrequestのtraversable for user promptsに設定する。
init["window"]が存在し、nullでなければTypeError例外を投げる。
init["window"]が存在すれば、traversableForUserPromptsを"no-traversable"に設定する。
requestに次のプロパティでrequestを新規作成して設定する：

URL
requestのURL
method
requestのmethod
header list
requestのheader listのコピー
unsafe-request flag
セットする
client
thisのrelevant settings object
traversable for user prompts
traversableForUserPrompts
internal priority
requestのinternal priority
origin
requestのorigin。オリジンの伝播はサービスワーカーによるナビゲーションリクエスト処理時のみ重要です。この場合リクエストのオリジンが現在のクライアントと異なることがあります。
referrer
requestのreferrer
referrer policy
requestのreferrer policy
mode
requestのmode
credentials mode
requestのcredentials mode
cache mode
requestのcache mode
redirect mode
requestのredirect mode
integrity metadata
requestのintegrity metadata
keepalive
requestのkeepalive
reload-navigation flag
requestのreload-navigation flag
history-navigation flag
requestのhistory-navigation flag
URL list
requestのURL listのクローン
initiator type
"fetch"
initが空でない場合：
1. requestのmodeが"navigate"なら、"same-origin"に設定する。
2. requestのreload-navigation flagを解除する。
3. requestのhistory-navigation flagを解除する。
4. requestのoriginを"client"に設定する。
5. requestのreferrerを"client"に設定する。
6. requestのreferrer policyを空文字列に設定する。
7. requestのURLをrequestのcurrent URLに設定する。
8. requestのURL listを« requestのURL »に設定する。
サービスワーカーがクロスオリジンスタイルシート中の画像等からリダイレクトしてリクエストを書き換える場合、もはや元のソース（クロスオリジンスタイルシート）から来たようには見えず、リダイレクトしたサービスワーカーから来たと扱われる。元ソースが同種リクエストを生成できない場合があるため、これが重要。元ソースを信頼するサービスが攻撃される恐れもある（稀だが）。
init["referrer"]が存在する場合：
1. referrerにinit["referrer"]を設定する。
2. referrerが空文字列なら、requestのreferrerを"no-referrer"に設定する。
3. それ以外の場合：
  1. parsedReferrerにreferrerをbaseURLでパースした結果を設定する。
  2. parsedReferrerが失敗ならTypeError例外を投げる。
  3. 次のいずれかが成立する場合
    - parsedReferrerのschemeが"about"かつpathが"client"である
    - parsedReferrerのoriginがoriginと同一オリジンでない
    なら、requestのreferrerを"client"に設定する。
  4. それ以外の場合、requestのreferrerをparsedReferrerに設定する。
init["referrerPolicy"]が存在すれば、requestのreferrer policyをその値に設定する。
modeにinit["mode"]が存在するならその値、しなければfallbackModeを設定する。
modeが"navigate"ならTypeError例外を投げる。
modeがnullでなければ、requestのmodeをmodeに設定する。
init["credentials"]が存在すれば、requestのcredentials modeをその値に設定する。
init["cache"]が存在すれば、requestのcache modeをその値に設定する。
requestのcache modeが"only-if-cached"かつmodeが"same-origin"でなければTypeError例外を投げる。
init["redirect"]が存在すれば、requestのredirect modeをその値に設定する。
init["integrity"]が存在すれば、requestのintegrity metadataをその値に設定する。
init["keepalive"]が存在すれば、requestのkeepaliveをその値に設定する。
init["method"]が存在すれば：
1. methodにinit["method"]を設定する。
2. methodがmethodでない、またはmethodが禁止メソッドならTypeError例外を投げる。
3. methodを正規化する。
4. requestのmethodをmethodに設定する。
init["signal"]が存在すれば、signalをその値に設定する。
init["priority"]が存在すれば：
1. requestのinternal priorityがnullでなければ、実装定義の方法でinternal priorityを更新する。
2. それ以外の場合、requestのpriorityをinit["priority"]に設定する。
thisのrequestをrequestに設定する。
signalsにsignalがnullでなければ« signal »、そうでなければ« »を設定する。
thisのsignalをdependent abort signalの作成（signals、AbortSignal、thisのrelevant realm）の結果に設定する。
thisのheadersを新しいHeadersオブジェクト（thisのrelevant realm、header listはrequestのheader list、guardは"request"）に設定する。
thisのrequestのmodeが"no-cors"なら：
1. thisのrequestのmethodがCORS安全リストメソッドでなければTypeError例外を投げる。
2. thisのheadersのguardを"request-no-cors"に設定する。
initが空でない場合：

このモードで許可されないヘッダーが含まれる可能性があるためヘッダーをサニタイズする。そうでなければ、以前にサニタイズ済みか特権APIで設定され変更されていない。
1. headersにthisのheadersと関連header listのコピーを設定する。
2. init["headers"]が存在すれば、headersをinit["headers"]に設定する。
3. thisのheadersのheader listを空にする。
4. headersがHeadersオブジェクトなら、各header（header listの要素）について、append（header）をthisのheadersに実行する。
5. それ以外の場合、fill（thisのheaders、headers）を実行する。
inputBodyにinputがRequestオブジェクトならinputのrequestのbody、それ以外ならnullを設定する。
init["body"]が存在しかつnullでない、またはinputBodyがnullでない場合で、requestのmethodが`GET`または`HEAD`ならTypeError例外を投げる。
initBodyをnullに設定する。
init["body"]が存在しかつnullでない場合：
1. bodyWithTypeにextract（init["body"]、keepaliveはrequestのkeepalive）の結果を設定する。
2. initBodyにbodyWithTypeのbodyを設定する。
3. typeにbodyWithTypeのtypeを設定する。
4. typeがnullでなく、thisのheadersのheader listが`Content-Type`を含まない場合、append（`Content-Type`、type）をthisのheadersに実行する。
inputOrInitBodyにinitBodyがnullでなければそれを、そうでなければinputBodyを設定する。
inputOrInitBodyがnullでなく、そのsourceがnullなら：
1. もし initBody が null でなく、かつ init["duplex"] が存在しない場合、TypeError を投げる。
2. もし this の request の mode が "same-origin" または "cors" でない場合、TypeError を投げる。
3. thisのrequestのuse-CORS-preflight flagをセットする。
finalBodyにinputOrInitBodyを設定する。
initBodyがnullかつinputBodyがnullでない場合：
1. もし input が使用不可なら、throw で TypeError を投げる。
2. finalBody に proxyの生成の結果（inputBody を対象）を設定する。
thisのrequestのbodyをfinalBodyに設定する。

methodゲッターの手順は、thisのrequestのmethodを返すこと。

urlゲッターの手順は、thisのrequestのURLを直列化して返すこと。

headersゲッターの手順は、thisのheadersを返すこと。

destinationゲッターの手順は、thisのrequestのdestinationを返すこと。

referrerゲッターの手順は次の通りです：

thisのrequestのreferrerが"no-referrer"なら空文字列を返す。
thisのrequestのreferrerが"client"なら"about:client"を返す。
thisのrequestのreferrerを直列化して返す。

referrerPolicyゲッターの手順は、thisのrequestのreferrer policyを返すこと。

modeゲッターの手順は、thisのrequestのmodeを返すこと。

credentialsゲッターの手順は、thisのrequestのcredentials modeを返すこと。

cacheゲッターの手順は、thisのrequestのcache modeを返すこと。

redirectゲッターの手順は、thisのrequestのredirect modeを返すこと。

integrityゲッターの手順は、thisのrequestのintegrity metadataを返すこと。

keepaliveゲッターの手順は、thisのrequestのkeepaliveを返すこと。

isReloadNavigationゲッターの手順は、thisのrequestのreload-navigation flagがセットされていればtrue、そうでなければfalseを返すこと。

isHistoryNavigationゲッターの手順は、thisのrequestのhistory-navigation flagがセットされていればtrue、そうでなければfalseを返すこと。

signalゲッターの手順は、thisのsignalを返すこと。

duplexゲッターの手順は"half"を返すこと。

clone()メソッドの手順は次の通りです：

thisが使用不可ならTypeError例外を投げる。
clonedRequestにclone（thisのrequest）の結果を設定する。
アサート：thisのsignalはnullでない。
clonedSignalにdependent abort signalの作成（« thisのsignal »、AbortSignal、thisのrelevant realm）の結果を設定する。
clonedRequestObjectにRequestオブジェクトの作成（clonedRequest、thisのheadersのguard、clonedSignal、thisのrelevant realm）の結果を設定する。
clonedRequestObjectを返す。

5.5. Responseクラス

[Exposed=(Window,Worker)]interface Response {
  constructor(optional BodyInit? body = null, optional ResponseInit init = {});

  [NewObject] static Response error();
  [NewObject] static Response redirect(USVString url, optional unsigned short status = 302);
  [NewObject] static Response json(any data, optional ResponseInit init = {});

  readonly attribute ResponseType type;

  readonly attribute USVString url;
  readonly attribute boolean redirected;
  readonly attribute unsigned short status;
  readonly attribute boolean ok;
  readonly attribute ByteString statusText;
  [SameObject] readonly attribute Headers headers;

  [NewObject] Response clone();
};
Response includes Body;

dictionary ResponseInit {
  unsigned short status = 200;
  ByteString statusText = "";
  HeadersInit headers;
};

enum ResponseType { "basic", "cors", "default", "error", "opaque", "opaqueredirect" };

Response オブジェクトには関連付けられたresponse（response）があります。

Response オブジェクトには、関連付けられたheaders（nullまたはHeadersオブジェクト、初期値はnull）があります。

Response オブジェクトのbodyは、そのresponseのbodyです。

response = new Response(body = null [, init]): Responseオブジェクトを生成し、bodyはbody、status・status message・headersはinitで指定されます。
response = Response . error(): ネットワークエラーのResponseオブジェクトを生成します。
response = Response . redirect(url, status = 302): urlへstatusでリダイレクトするResponseを生成します。
response = Response . json(data [, init]): bodyがJSONエンコードされたdata、status・status message・headersはinitで指定されるResponseを生成します。
response . type: responseのtype（例："cors"）を返します。
response . url: responseにURLがあれば返し、なければ空文字列を返します。
response . redirected: responseがリダイレクトによって取得されたかどうかを返します。
response . status: responseのstatusを返します。
response . ok: responseのstatusがok statusならtrueを返します。
response . statusText: responseのstatus messageを返します。
response . headers: responseのheadersをHeadersとして返します。
response . clone(): responseのクローンを返します。

Responseオブジェクトの作成は、Responseオブジェクトを、responseresponse、headers guardguard、realmrealmを指定して次の手順で作成します：

responseObjectにrealmで新しいResponseオブジェクトを生成する。
responseObjectのresponseをresponseに設定する。
responseObjectのheadersを、realmで新しいHeadersオブジェクト（headers listはresponseのheaders list、guardはguard）に設定する。
responseObjectを返す。

レスポンスの初期化は、Responseオブジェクトresponse、ResponseInitinit、nullまたはbody with typebodyを指定して次の手順で初期化します：

init["status"]が200～599の範囲外ならRangeError例外を投げる。
init["statusText"]が空文字列でなく、かつreason-phraseトークン生成規則に一致しない場合、TypeError例外を投げる。
responseのresponseのstatusをinit["status"]に設定する。
responseのresponseのstatus messageをinit["statusText"]に設定する。
init["headers"]が存在すれば、fill（responseのheaders、init["headers"]）を実行する。
bodyがnullでなければ：
1. responseのstatusがnull body statusならTypeError例外を投げる。
  
  101/103はnull body statusに含まれるが、ここでは影響しません。
2. responseのbodyをbodyのbodyに設定する。
3. bodyのtypeがnullでなく、responseのheader listが`Content-Type`を含まない場合、append（`Content-Type`、bodyのtype）をresponseのheader listに実行する。

new Response(body, init) コンストラクタの手順は次の通りです：

thisのresponseを新しいresponseに設定する。
thisのheadersを新しいHeadersオブジェクト（thisのrelevant realm、header listはresponseのheader list、guardは"response"）に設定する。
bodyWithTypeをnullに設定する。
bodyがnullでなければ、extract（body）の結果をbodyWithTypeに設定する。
レスポンスの初期化（this、init、bodyWithType）を実行する。

error()静的メソッドの手順は、新しいnetwork error、"immutable"、current realmを指定してResponseオブジェクトの作成の結果を返すこと。

redirect(url, status)静的メソッドの手順は次の通りです：

parsedURLにurlをcurrent settings objectのAPI base URLでパースした結果を設定する。
parsedURLが失敗ならTypeError例外を投げる。
statusがredirect statusでなければRangeError例外を投げる。
responseObjectにResponseオブジェクトの作成（新しいresponse、"immutable"、current realm）の結果を設定する。
responseObjectのresponseのstatusをstatusに設定する。
valueにparsedURLを直列化してisomorphic encodeしたものを設定する。
append（`Location`、value）をresponseObjectのresponseのheader listに実行する。
responseObjectを返す。

json(data, init)静的メソッドの手順は次の通りです：

bytesにdataをJSONバイト列へシリアライズした結果を設定する。
bodyにextract（bytes）の結果を設定する。
responseObjectにResponseオブジェクトの作成（新しいresponse、"response"、current realm）の結果を設定する。
レスポンスの初期化（responseObject、init、(body, "application/json")）を実行する。
responseObjectを返す。

typeゲッターの手順は、thisのresponseのtypeを返すこと。

urlゲッターの手順は、thisのresponseのURLがnullなら空文字列を返し、そうでなければthisのresponseのURLを直列化（exclude fragmentをtrueに設定）して返すこと。

redirectedゲッターの手順は、thisのresponseのURL listのsizeが1より大きければtrue、そうでなければfalseを返すこと。

リダイレクトの結果のresponseを除外したい場合は、API経由で直接制御できます（例：fetch(url, { redirect:"error" })）。この方法なら潜在的に危険なresponseが漏れることはありません。

statusゲッターの手順は、thisのresponseのstatusを返すこと。

okゲッターの手順は、thisのresponseのstatusがok statusならtrue、そうでなければfalseを返すこと。

statusTextゲッターの手順は、thisのresponseのstatus messageを返すこと。

headersゲッターの手順は、thisのheadersを返すこと。

clone()メソッドの手順は次の通りです：

thisが使用不可ならTypeError例外を投げる。
clonedResponseにclone（thisのresponse）の結果を設定する。
Responseオブジェクトの作成（clonedResponse、thisのheadersのguard、thisのrelevant realm）の結果を返す。

5.6. Fetchメソッド

partial interface mixin WindowOrWorkerGlobalScope {
  [NewObject] Promise<Response> fetch(RequestInfo input, optional RequestInit init = {});
};

dictionary DeferredRequestInit : RequestInit {
  DOMHighResTimeStamp activateAfter;
};

[Exposed=Window]
interface FetchLaterResult {
  readonly attribute boolean activated;
};

partial interface Window {
  [NewObject] FetchLaterResult fetchLater(RequestInfo input, optional DeferredRequestInit init = {});
};

fetch(input, init) メソッドの手順は次の通りです：

pに新しいpromiseを設定する。
requestObjectにRequestの初期値をコンストラクタとしてinputとinitを引数に呼び出した結果を設定する。例外が投げられた場合、pをrejectしてpを返す。
requestにrequestObjectのrequestを設定する。
requestObjectのsignalがabort済みなら：
1. fetch()呼び出しの中止（p、request、null、requestObjectのsignalのabort理由）を実行する。
2. pを返す。
globalObjectにrequestのclientのglobal objectを設定する。
globalObjectがServiceWorkerGlobalScopeオブジェクトなら、requestのservice-workers modeを"none"に設定する。
responseObjectをnullに設定する。
relevantRealmにthisのrelevant realmを設定する。
locallyAbortedをfalseに設定する。

同一スレッドからabort要求が来た場合、予測可能なタイミングでpromiseをrejectできるようにする。
controllerをnullに設定する。
abort時の手順追加をrequestObjectのsignalに対して次の通り追加する：
1. locallyAbortedをtrueに設定する。
2. アサート：controllerはnullでない。
3. controllerのabort（controller、requestObjectのsignalのabort理由）を実行する。
4. fetch()呼び出しの中止（p、request、responseObject、requestObjectのsignalのabort理由）を実行する。
controllerにfetch（request、processResponseとして、responseが次の手順）を実行した結果を設定する：
1. locallyAbortedがtrueならこの手順を中止する。
2. responseのaborted flagがセットされていれば：
  1. deserializedErrorにabort理由のデシリアライズ（controllerのserialized abort理由、relevantRealm）の結果を設定する。
  2. fetch()呼び出しの中止（p、request、responseObject、deserializedError）を実行する。
  3. この手順を中止する。
3. responseがnetwork errorなら、pをTypeErrorでrejectし、この手順を中止する。
4. responseObjectにResponseオブジェクトの作成（response、"immutable"、relevantRealm）の結果を設定する。
5. pをresponseObjectでresolveする。
pを返す。

fetch()呼び出しの中止（promise、request、responseObject、error）は次の通り：

promiseをerrorでrejectする。

promiseが既にfulfilledなら何もしない。
requestのbodyがnullでなく、かつreadableなら、request.bodyをerrorでcancelする。
responseObjectがnullならreturn。
responseにresponseObjectのresponseを設定する。
responseのbodyがnullでなく、かつreadableなら、response.bodyをerrorでエラー化する。

FetchLaterResultには関連付けられたactivated getter steps（booleanを返すアルゴリズム）があります。

activatedゲッターの手順は、thisのactivated getter stepsを実行した結果を返すこと。

fetchLater(input, init) メソッドの手順は次の通りです：

requestObjectにRequestの初期値をコンストラクタとしてinputとinitを引数に呼び出した結果を設定する。
requestObjectのsignalがabort済みなら、signalのabort理由をthrowする。
requestにrequestObjectのrequestを設定する。
activateAfterをnullに設定する。
initが与えられ、init["activateAfter"]が存在すれば、activateAfterにその値を設定する。
activateAfterが0未満ならRangeError例外を投げる。
thisのrelevant global objectのassociated documentがfully activeでなければTypeError例外を投げる。
requestのURLのschemeがHTTP(S) schemeでなければTypeError例外を投げる。
requestのURLがpotentially trustworthy URLでなければTypeError例外を投げる。
requestのbodyがnullでなく、かつそのlengthがnullならTypeError例外を投げる。

bodyがReadableStreamオブジェクトの場合はdeferred不可。
available deferred-fetch quota（requestのclient、requestのURLのorigin）がrequestのtotal request length未満ならQuotaExceededErrorDOMException例外を投げる。
activatedをfalseに設定する。
deferredRecordにdeferred fetchのキュー追加（request、activateAfter、次の手順：activatedをtrueに設定）を実行した結果を設定する。
abort時の手順追加をrequestObjectのsignalに対して、「deferredRecordのinvoke stateを"aborted"に設定」する手順を追加する。
新しいFetchLaterResult（activated getter stepsはactivatedを返す）を返す。

次の呼び出しは、ドキュメントが終了したときにフェッチされるリクエストをキューします：

fetchLater("https://report.example.com", {
  method: "POST",
  body: JSON.stringify(myReport),
  headers: { "Content-Type": "application/json" }
})

次の呼び出しは5秒後にこのリクエストをキューし、返された値で本当にアクティベートされたかどうか確認できます。ユーザーエージェントがタイマーをスロットルしても、リクエストは必ず実行されます。

const result = fetchLater("https://report.example.com", {
  method: "POST",
  body: JSON.stringify(myReport),
  headers: { "Content-Type": "application/json" },
  activateAfter: 5000
});

function check_if_fetched() {
  return result.activated;
}

FetchLaterResultオブジェクトはAbortSignalと組み合わせて使うこともできます。例えば：

let accumulated_events = [];
let previous_result = null;
const abort_signal = new AbortSignal();
function accumulate_event(event) {
  if (previous_result) {
    if (previous_result.activated) {
      // リクエストは既にアクティベートされているので、新しく始められます。
      accumulated_events = [];
    } else {
      // このリクエストをabortして、すべてのイベントで新規リクエストを開始します。
      signal.abort();
    }
  }

  accumulated_events.push(event);
  result = fetchLater("https://report.example.com", {
    method: "POST",
    body: JSON.stringify(accumulated_events),
    headers: { "Content-Type": "application/json" },
    activateAfter: 5000,
    abort_signal
  });
}

以下のいずれかのfetchLater()呼び出しは例外が投げられます：

// potentially trustworthy URLのみサポート
fetchLater("http://untrusted.example.com");

// deferredリクエストの長さは事前に分かっている必要があります。
fetchLater("https://origin.example.com", {body: someDynamicStream});

// deferred fetchはactiveなwindowでのみ動作します。
const detachedWindow = iframe.contentWindow;
iframe.remove();
detachedWindow.fetchLater("https://origin.example.com");

deferred fetch quotaの例も参照。

5.7. ガベージコレクション

ユーザーエージェントは、スクリプトから観測できない場合、進行中のfetchを終了してもよい。

「スクリプトから観測できる」とは、fetch() の引数と戻り値で観測できることを意味します。それ以外の方法（サーバーとのサイドチャネル通信など）は含みません。

サーバーがガベージコレクションを観測できる例は既に存在します。例えば WebSocket や XMLHttpRequest オブジェクトなどです。

ユーザーエージェントは、終了が観測できないためfetchを終了できる。

fetch("https://www.example.com/")

ユーザーエージェントは、promise経由で終了が観測できるためfetchを終了できない。

window.promise = fetch("https://www.example.com/")

関連するbodyが観測できないため、ユーザーエージェントはfetchを終了できる。

window.promise = fetch("https://www.example.com/").then(res => res.headers)

終了が観測できないため、ユーザーエージェントはfetchを終了できる。

fetch("https://www.example.com/").then(res => res.body.getReader().closed)

promiseオブジェクトにハンドラを登録することで、終了が観測できるためユーザーエージェントはfetchを終了できない。

window.promise = fetch("https://www.example.com/")
  .then(res => res.body.getReader().closed)

登録されたハンドラで終了が観測できるため、ユーザーエージェントはfetchを終了できない。

fetch("https://www.example.com/")
  .then(res => {
    res.body.getReader().closed.then(() => console.log("stream closed!"))
  })

（上記の非観測性の例は、組み込みプロパティや関数（body.getReader()など）が上書きされていないことを前提としています。）

6. `data:` URL

data: URLについての参考説明はRFC 2397を参照してください。本節は、現行のコンテンツと互換性を持たせるため、そのRFCの規範的な処理要件を置き換えます。[RFC2397]

data: URL構造体は、構造体で、MIMEタイプ（MIMEタイプ）と、 body（バイト列）を持ちます。

data: URL処理器は、URL dataURLを受け取り、次の手順を実行します：

アサート：dataURLのschemeは"data"であること。
inputにURL直列化（dataURL、exclude fragmentをtrue）した結果を設定する。
inputの先頭の"data:"を削除する。
positionをinputの最初に設定する。
mimeTypeにpositionからU+002C（,）以外のコードポイントを収集した結果を設定する。
先頭・末尾のASCII空白をmimeTypeから除去する。

これによりU+0020 SPACEコードポイントのみが削除されます（ある場合）。
positionがinputの終端を超えていれば失敗を返す。
positionを1進める。
encodedBodyにinputの残り部分を設定する。
bodyにencodedBodyのパーセントデコード結果を設定する。
mimeTypeがU+003B（;）で終わり、その後ゼロ個以上のU+0020 SPACE、さらにASCII大文字小文字無視で"base64"が続く場合、次を実行：
1. stringBodyにbodyのisomorphic decode結果を設定する。
2. bodyにstringBodyのforgiving-base64 decode結果を設定する。
3. bodyが失敗なら失敗を返す。
4. mimeTypeから最後の6つのコードポイントを削除する。
5. mimeTypeから末尾のU+0020 SPACEコードポイントを削除する（あれば）。
6. mimeTypeから最後のU+003B（;）を削除する。
mimeTypeが";"で始まるなら、"text/plain"を先頭に追加する。
mimeTypeRecordにMIMEタイプをパース（mimeType）の結果を設定する。
mimeTypeRecordが失敗ならtext/plain;charset=US-ASCIIに設定する。
新しいdata: URL構造体（MIMEタイプ：mimeTypeRecord、body：body）を返す。

参考文献

このセクションおよびその下位セクションは参考情報のみです。

HTTPヘッダー階層の区分

fetchにおいては、API層（HTMLのimg、CSSのbackground-image）、早期fetch層、Service Worker層、ネットワーク＆キャッシュ層があります。`Accept`や`Accept-Language`は早期fetch層（通常はユーザーエージェントが設定）で扱われます。他のほとんどのユーザーエージェント制御ヘッダー（`Accept-Encoding`、`Host`、`Referer`など）はネットワーク＆キャッシュ層で設定されます。開発者はAPI層またはService Worker層（通常はRequestオブジェクト経由）でヘッダーを設定できます。禁止リクエストヘッダーはほぼ制御できませんが、`Accept`は制御でき、例えば`Referer`は省略・制限できます。

HTTPリダイレクトのアトミックな取り扱い

リダイレクト（responseのstatusや internal response（あれば）のstatusがリダイレクトステータスの場合）はAPIに公開されません。リダイレクトを公開すると、クロスサイトスクリプティング攻撃などで得られない情報が漏れる可能性があります。

例えばhttps://example.org/authに対するfetchで、HttpOnly付きのCookieが含まれている場合、https://other-origin.invalid/4af955781ea1c84a3b11にリダイレクトされる可能性があります。この新しいURLには秘密情報が含まれています。リダイレクトを公開すれば、その秘密がクロスサイトスクリプティング攻撃で取得されてしまいます。

CORSプロトコルの安全な基本設定

IP認証やファイアウォールによってデータが保護されているリソース（残念ながら現在も比較的多い）では、CORSプロトコルの使用は安全ではありません。（このためCORSプロトコルが考案されました。）

しかし、下記のようなヘッダーの使用は安全です：

Access-Control-Allow-Origin: *

リソースがCookieやHTTP認証で追加情報を公開している場合でも、上記のヘッダーを使ってもそれが漏れることはありません。API（XMLHttpRequestなど）にリソースを共有できます。これはcurlやwgetと同様です。

言い換えれば、リソースがWeb上の任意のデバイスからcurlやwgetでアクセスできない場合、上記のヘッダーは含めるべきではありません。アクセスできる場合は問題ありません。

CORSプロトコルとHTTPキャッシュ

CORSプロトコルの要件が`Access-Control-Allow-Origin`を*や静的なoriginに設定するだけより複雑な場合は、`Vary`を使う必要があります。[HTML] [HTTP] [HTTP-CACHING]

Vary: Origin

特に、`Vary`が使われず、サーバーが特定のリソースに対しAccess-Control-Allow-Origin`をCORSリクエストにのみ返す場合を考えてください。ユーザーエージェントが非CORSリクエスト（例えばナビゲーションリクエスト）でそのリソースのレスポンスを受け取った場合、そのレスポンスには`Access-Control-Allow-Origin`が含まれず、ユーザーエージェントはそのレスポンスをキャッシュします。その後ユーザーエージェントが同じリソースに対してCORSリクエストを発行すると、以前の非CORSリクエストのキャッシュレスポンスが使われ、`Access-Control-Allow-Origin`がない状態になります。

しかし、同じ状況で`Vary: Origin`を使えば、ユーザーエージェントは`Access-Control-Allow-Origin`を含むレスポンスをfetchし、以前の非CORSリクエストのキャッシュレスポンスは使われません。

一方、特定のリソースについて`Access-Control-Allow-Origin`を*や静的なoriginに設定している場合は、サーバーは常にそのリソースのレスポンスで`Access-Control-Allow-Origin`を返し、非CORSリクエストでもCORSリクエストでも同様にし、`Vary`は使わないようにします。

WebSocket

コネクション確立の一環として、WebSocket オブジェクトは特殊な種類の fetch（requestのmodeが"websocket"）を開始し、多くのfetchポリシー決定（例えばHTTP Strict Transport Security (HSTS)）を共有できます。最終的にはfetchがWebSocketへ専用コネクション取得のため呼び出します。[WEBSOCKETS] [HSTS]

以前fetchは WebSocketコネクションの取得および WebSocketコネクションの確立を直接定義していましたが、現在はWebSocketsで定義されています。[WEBSOCKETS]

他の標準でのfetch利用

本質的には、fetchはrequestとresponseの交換です。実際には、標準仕様が正しく採用・利用するには非常に複雑なメカニズムとなります。本節はそのためのアドバイスを示します。

必ずドメイン専門家にレビューを依頼してください。

この部分は作業中です。

リクエストのセットアップ

fetchの最初のステップは、requestを作成し、その各項目を設定することです。

まずrequestのURLとmethodをHTTPで定義された通りに設定します。もし`POST`や`PUT`のrequestにbodyが必要な場合、requestのbodyをバイト列または新規body（streamは自作のReadableStream）に設定します。[HTTP]

requestのdestinationはdestination表の指針に従って選択してください。destinationはContent Security Policyなどに影響し、`Sec-Fetch-Dest`ヘッダーなどにも関係するため、単なるメタデータ以上の意味があります。新しい機能に未掲載のdestinationが必要な場合はissueを提出してください。[CSP]

requestのclientは、自分が動作しているenvironment settings objectに設定します。Web公開APIは一般にWeb IDLで定義され、インターフェースを実装するすべてのオブジェクトはrelevant settings objectを持っています。たとえば、requestがelementに紐付く場合は、そのrequestのclientは要素のnode documentのrelevant settings objectにします。JavaScript、HTML、CSSその他DocumentサブリソースでWebに直接公開する機能はすべてclientを持たせるべきです。

fetchが直接Web公開されない場合（例えばWindowやWorkerを使わずバックグラウンドで送信する場合）はrequestのclientをnullにし、requestのorigin、policy container、service-workers mode、referrerは適切な値に設定します（例えば事前にenvironment settings objectからコピー）。このような高度なケースでは、fetchがContent Security Policyやreferrer policyをどう扱うか詳細に検討してください。また並行処理にも注意が必要です（コールバックはfetch実行とレスポンス処理参照、parallel queueで処理されます）。[REFERRER] [CSP]

クロスオリジンのリソースをどう扱うかも検討してください。ある機能が同一オリジンでのみ動作する場合はrequestのmodeを"same-origin"に設定します。そうでなければWeb公開機能はほぼ常にmodeを"cors"にするべきです。Web公開でなければ、あるいはCORSなしにクロスオリジンfetchすべき理由がある場合はissueを提出してください。

クロスオリジンリクエストの場合、credentialsを送信するかも検討し、送信するならrequestのcredentials modeを"include"に設定します。

fetchがResource Timingに報告すべきか、どのinitiator typeで報告するかも検討します。initiator typeをrequestに渡せば、fetch終了時にResource Timingへ自動報告されます（responseが完全にダウンロードされた後）。[RESOURCE-TIMING]

追加のHTTPヘッダーが必要な場合はheader listを必要なヘッダー入りのheader listに設定します（例：« (`My-Header-Name`, `My-Header-Value`) »）。カスタムヘッダー送信はCORSプリフライトfetchなど追加処理が必要になる場合もあるので注意してください。

デフォルトのキャッシュ機構を上書きしたい場合（例：キャッシュ無効化）はrequestのcache modeを"default"以外に設定します。

リダイレクトを許可したくない場合はredirect modeを"error"に設定します。

他にもrequestのパラメータを確認し、必要なものがあれば設定してください。これらのパラメータは特殊用途が多く、詳細は§ 2.2.5 リクエストに記載されています。

fetchの呼び出しとレスポンス処理

request以外にも、fetch操作にはいくつかのオプション引数があります。アルゴリズムを受け取る引数の場合、そのアルゴリズムはタスク（またはparallel queue、useParallelQueueがtrueの場合）から呼び出されます。

requestがセットアップできたら、どのアルゴリズムをfetchに渡すか判断し、responseをどう処理したいか、コールバックをどの段階で受け取りたいかを決めます：

完了時

ほとんどの呼び出し元はこの方法でresponseを扱います。例えばscriptやstyle resourceなど。 responseのbody全体をバイト列に読み込み、呼び出し元で処理します。

完了時にresponseを処理するには、processResponseConsumeBody引数にアルゴリズムを渡してfetchを実行します。渡したアルゴリズムはresponseと、完全に読み込んだbody（responseのinternal response）を受け取ります。2番目の引数の意味は以下の通りです：

null

responseのbodyがnull（ネットワークエラーやnull body statusの場合）。

failure

完全に読み取る試みが、 response の body の内容について失敗した（例：I/O エラーなどが原因）。

バイト列

完全に読み込むことが成功した場合（responseのinternal responseのbody）。

"no-cors"requestでも全文バイト列が渡されるので扱いに注意。たとえば画像内容をユーザーに表示するだけなら問題ないが、埋め込みドキュメントのスクリプトでは直接触れないようにしてください。

requestをrequest（URLはhttps://stuff.example.com/、clientはthisのrelevant settings object）として用意する。
fetch（request、processResponseConsumeBodyとして「response、null/failure/バイト列contents」を受け取り：
1. contentsがnullまたはfailureならエラー表示。
2. それ以外はresponseのメタデータを考慮しつつcontentsをパースし、必要な処理を行う。

ヘッダー受信後、チャンクごと

動画再生や画像の漸進ロードなど、チャンクごとにレスポンスを処理したい場合もあります。responseはヘッダー受信後にfetch呼び出し元へ渡され、以降は呼び出し元が処理します。

チャンクごとにresponseを処理するには、processResponse引数にアルゴリズムを渡してfetchを実行します。渡したアルゴリズムはヘッダー受信時にresponseを受け取り、以降はbodyのstreamを読んで残りをダウンロードします。便利なように、全データ取得後に呼ばれるprocessResponseEndOfBody引数も渡せます（完了時の追加処理）。processResponseConsumeBodyとは異なり、processResponseやprocessResponseEndOfBodyは全データ取得を保証しないので、呼び出し元でbodyを読む必要があります。

processResponse引数は、responseのheader listやstatusだけ扱い、body処理しない用途にも便利です。これはok statusでないレスポンスの処理などに使います。

requestをrequest（URLはhttps://stream.example.com/、clientはthisのrelevant settings object）として用意する。
fetch（request、processResponseとして「response」を受け取り：
1. network errorならエラー表示。
2. statusがok statusでなければ代替値を表示。
3. それ以外はreader取得（responseのbodyのstream）し、MIMEタイプ抽出（responseのheaders list）に応じて処理する。

レスポンス無視

場合によってはresponse自体不要なこともあります（例：navigator.sendBeacon()）。 fetchにコールバックを渡さずに実行すれば、responseは期待されません。この場合、responseのbodyのstreamは破棄されるので、内容のダウンロードを気にする必要はありません。

fetch（request、URLはhttps://fire-and-forget.example.com/、methodは`POST`、clientはthisのrelevant settings object）。

レスポンス処理用コールバック以外にも、fetchは高度な用途向けに追加コールバックを受け付けます。例えばprocessEarlyHintsResponseは103レスポンス用（主にナビゲーション時）、processRequestBodyChunkLengthやprocessRequestEndOfBodyはリクエストbodyのアップロード進捗通知用です。

fetch操作は呼び出し元と同じスレッドで開始し、その後内部処理は並列で進行します。上記コールバックはデフォルトではclientのevent loopにポストされます。自分でmain threadとの連携を扱いたい場合は、fetch（useParallelQueueをtrue）でレスポンスを並列処理できます。

進行中のfetch操作の操作

既に開始されたfetch操作を操作するには、fetch呼び出しで返されるfetchコントローラーを使用します。例えば、ユーザーやページのロジックによりabort（中止）したり、ブラウザ内部の事情によりterminate（終了）したりできます。

終了や中止以外にも、タイミング報告（initiator typeを渡して自動報告されていない場合）、完全なタイミング情報の抽出（ナビゲーションのみ）なども呼び出し元が行えます。fetchコントローラーは、requestのredirect modeが"manual"の場合の次の手動リダイレクト処理にも使われます。

謝辞

感謝を表します： Adam Barth、 Adam Lavin、 Alan Jeffrey、 Alexey Proskuryakov、 Andreas Kling、 Andrés Gutiérrez、 Andrew Sutherland、 Andrew Williams、 Ángel González、 Anssi Kostiainen、 Arkadiusz Michalski、 Arne Johannessen、 Artem Skoretskiy、 Arthur Barstow、 Arthur Sonzogni、 Asanka Herath、 Axel Rauschmayer、 Ben Kelly、 Benjamin Gruenbaum、 Benjamin Hawkes-Lewis、 Benjamin VanderSloot、 Bert Bos、 Björn Höhrmann、 Boris Zbarsky、 Brad Hill、 Brad Porter、 Bryan Smith、 Caitlin Potter、 Cameron McCormack、 Carlo Cannas、白丞祐 (Cheng-You Bai)、 Chirag S Kumar、 Chris Needham、 Chris Rebert、 Clement Pellerin、 Collin Jackson、 Daniel Robertson、 Daniel Veditz、 Dave Tapuska、 David Benjamin、 David Håsäther、 David Orchard、 Dean Jackson、 Devdatta Akhawe、 Domenic Denicola、 Dominic Farolino、 Dominique Hazaël-Massieux、 Doug Turner、 Douglas Creager、 Eero Häkkinen、 Ehsan Akhgari、 Emily Stark、 Eric Lawrence、 Eric Orth、 Feng Yu、 François Marier、 Frank Ellerman、 Frederick Hirsch、 Frederik Braun、 Gary Blackwood、 Gavin Carothers、 Glenn Maynard、 Graham Klyne、 Gregory Terzian、 Guohui Deng(邓国辉)、 Hal Lockhart、 Hallvord R. M. Steen、 Harris Hancock、 Henri Sivonen、 Henry Story、 Hiroshige Hayashizaki、 Honza Bambas、 Ian Hickson、 Ilya Grigorik、 isonmad、 Jake Archibald、 James Graham、 Jamie Mansfield、 Janusz Majnert、 Jeena Lee、 Jeff Carpenter、 Jeff Hodges、 Jeffrey Yasskin、 Jensen Chappell、 Jeremy Roman、 Jesse M. Heines、 Jianjun Chen、 Jinho Bang、 Jochen Eisinger、 John Wilander、 Jonas Sicking、 Jonathan Kingston、 Jonathan Watt、 최종찬 (Jongchan Choi)、 Jordan Stephens、 Jörn Zaefferer、 Joseph Pecoraro、 Josh Matthews、 jub0bs、 Julian Krispel-Samsel、 Julian Reschke、 송정기 (Jungkee Song)、 Jussi Kalliokoski、 Jxck、 Kagami Sascha Rosylight、 Keith Yeung、 Kenji Baheux、 Lachlan Hunt、 Larry Masinter、 Liam Brummitt、 Linus Groh、 Louis Ryan、 Luca Casonato、 Lucas Gonze、 Łukasz Anforowicz、呂康豪 (Kang-Hao Lu)、 Maciej Stachowiak、 Malisa、 Manfred Stock、 Manish Goregaokar、 Marc Silbey、 Marcos Caceres、 Marijn Kruisselbrink、 Mark Nottingham、 Mark S. Miller、 Martin Dürst、 Martin O’Neal、 Martin Thomson、 Matt Andrews、 Matt Falkenhagen、 Matt Menke、 Matt Oshry、 Matt Seddon、 Matt Womer、 Mhano Harkness、 Michael Ficarra、 Michael Kohler、 Michael™ Smith、 Mike Pennisi、 Mike West、 Mohamed Zergaoui、 Mohammed Zubair Ahmed、 Moritz Kneilmann、 Ms2ger、 Nico Schlömer、 Nicolás Peña Moreno、 Nidhi Jaju、 Nikhil Marathe、 Nikki Bee、 Nikunj Mehta、 Noam Rosenthal、 Odin Hørthe Omdal、 Olli Pettay、 Ondřej Žára、 O. Opsec、 Patrick Meenan、 Perry Jiang、 Philip Jägenstedt、 R. Auburn、 Raphael Kubo da Costa、 Robert Linder、 Rondinelly、 Rory Hewitt、 Ross A. Baker、 Ryan Sleevi、 Sam Atkins、 Samy Kamkar、 Sébastien Cevey、 Sendil Kumar N、 Shao-xuan Kang、 Sharath Udupa、 Shivakumar Jagalur Matt、 Shivani Sharma、 Sigbjørn Finne、 Simon Pieters、 Simon Sapin、 Simon Wülker、 Srirama Chandra Sekhar Mogali、 Stephan Paul、 Steven Salat、 Sunava Dutta、 Surya Ismail、 Tab Atkins-Bittner、 Takashi Toyoshima、吉野剛史 (Takeshi Yoshino)、 Thomas Roessler、 Thomas Steiner、 Thomas Wisniewski、 Tiancheng "Timothy" Gu、 Tobie Langel、 Tom Schuster、 Tomás Aparicio、 triple-underscore、保呂毅 (Tsuyoshi Horo)、 Tyler Close、 Ujjwal Sharma、 Vignesh Shanmugam、 Vladimir Dzhuvinov、 Wayne Carr、 Xabier Rodríguez、 Yehuda Katz、 Yoav Weiss、 Youenn Fablet、 Yoichi Osato、平野裕 (Yutaka Hirano)、 Zhenbin Xu 素晴らしい協力に感謝します。

本現行標準は Anne van Kesteren (Apple, annevk@annevk.nl) によって執筆されています。

知的財産権

これは現行標準です。特許審査版に関心がある場合は現行標準レビュー草案を参照してください。

Fetch

概要

目標

1. 序文

2. インフラストラクチャー

2.1. URL

2.2. HTTP

2.2.1. メソッド

2.2.2. ヘッダー

2.2.3. ステータス

2.2.4. ボディ

2.2.5. リクエスト

2.2.6. レスポンス

2.2.7. その他

2.3. 認証エントリ

2.4. Fetchグループ

2.5. ドメインの解決

2.6. コネクション

2.7. ネットワークパーティションキー

2.8. HTTPキャッシュパーティション

2.9. ポートブロッキング

2.10. responseをrequestへのレスポンスとしてMIMEタイプのためにブロックすべきか？

3. HTTP拡張

3.1. Cookie

3.1.1. `Cookie` ヘッダー

3.1.2. `Set-Cookie` ヘッダー

3.1.3. Cookieインフラストラクチャ

3.2. `Origin` ヘッダー

3.3. CORSプロトコル

3.3.1. 一般

3.3.2. HTTPリクエスト

3.3.3. HTTPレスポンス

3.3.4. HTTP新ヘッダー構文

3.3.5. CORSプロトコルと認証情報

3.3.6. 例

3.3.7. CORSプロトコルの例外

3.4. `Content-Length` ヘッダー

3.5. `Content-Type` ヘッダー

3.6. `X-Content-Type-Options` ヘッダー

3.6.1. responseをrequestへのレスポンスとしてnosniffのためにブロックすべきか？

3.7. `Cross-Origin-Resource-Policy` ヘッダー

3.8. `Sec-Purpose` ヘッダー

4. フェッチング

4.1. メインフェッチ

4.2. スキームフェッチ

4.3. HTTPフェッチ

4.4. HTTPリダイレクトフェッチ

4.5. HTTPネットワークまたはキャッシュフェッチ

4.6. HTTPネットワークフェッチ

4.7. CORSプリフライトフェッチ

4.8. CORSプリフライトキャッシュ

4.9. CORSチェック

4.10. TAOチェック

4.11. 遅延フェッチ

4.11.1. 遅延フェッチのクォータ

5. Fetch API（フェッチAPI）

5.1. Headersクラス

5.2. BodyInit ユニオン型

5.3. Bodyミックスイン

5.4. Requestクラス

5.5. Responseクラス

5.6. Fetchメソッド

5.7. ガベージコレクション

6. data: URL

参考文献

HTTPヘッダー階層の区分

HTTPリダイレクトのアトミックな取り扱い

CORSプロトコルの安全な基本設定

CORSプロトコルとHTTPキャッシュ

WebSocket

他の標準でのfetch利用

リクエストのセットアップ

fetchの呼び出しとレスポンス処理

進行中のfetch操作の操作

謝辞

知的財産権

索引

この仕様で定義されている用語

参照で定義される用語

参考文献

2.10. `response`を`request`へのレスポンスとしてMIMEタイプのためにブロックすべきか？

3.1.1. ``Cookie`` ヘッダー

3.1.2. ``Set-Cookie`` ヘッダー

3.2. ``Origin`` ヘッダー

3.4. ``Content-Length`` ヘッダー

3.5. ``Content-Type`` ヘッダー

3.6. ``X-Content-Type-Options`` ヘッダー

3.6.1. `response`を`request`へのレスポンスとしてnosniffのためにブロックすべきか？

3.7. ``Cross-Origin-Resource-Policy`` ヘッダー

3.8. ``Sec-Purpose`` ヘッダー

6. `data:` URL