目標
この標準の目標は、ウェブプラットフォーム全体でフェッチ処理を統一し、関連する全ての事項について一貫した取り扱いを提供することです。具体的には以下を含みます。
- URLスキーム
- リダイレクト
- クロスオリジンのセマンティクス
- CSP [CSP]
- Fetch Metadata [FETCH-METADATA]
- Service Workers [SW]
- 混在コンテンツ [MIX]
- 安全でないリクエストのアップグレード [UPGRADE-INSECURE-REQUESTS]
- `
Referer` [REFERRER]
そのため、この標準はThe Web Origin Conceptで最初に定義されたHTTP
`Origin`ヘッダーのセマンティクスも置き換えます。[ORIGIN]
1. 序文
大まかに言えば、リソースのフェッチは非常に単純な操作です。リクエストが入力され、レスポンスが出力されます。しかしその詳細は複雑であり、かつては十分に文書化されていなかったり、APIごとに異なっていました。
多くのAPIがリソースをフェッチする機能を提供しています。例えばHTMLのimgやscript要素、CSSのcursorやlist-style-image、JavaScript
APIであるnavigator.sendBeacon()やself.importScripts()などです。Fetch標準は、これらの機能について統一的なアーキテクチャを提供し、リダイレクトやCORSプロトコルなどフェッチに関する様々な側面で一貫性を持たせます。
Fetch標準はまた、ほとんどのネットワーク機能を比較的低レベルの抽象化で公開するfetch() JavaScript APIも定義します。
2. インフラストラクチャー
本仕様はInfra標準に依存します。[INFRA]
本仕様は、ABNF、Encoding、HTML、HTTP、MIME Sniffing、Streams、URL、Web IDL、WebSockets、およびWebTransportの用語を使用します。 [ABNF] [ENCODING] [HTML] [HTTP] [MIMESNIFF] [STREAMS] [URL] [WEBIDL] [WEBSOCKETS] [WEBTRANSPORT]
ABNF
とは、HTTPによって拡張されたABNF(特に#の追加)およびRFC 7405を意味します。[RFC7405]
認証情報 とは、HTTPクッキー、TLSクライアント証明書、および認証エントリ(HTTP認証用)を指します。[COOKIES] [TLS] [HTTP]
fetch params は、構造体であり、 fetchアルゴリズムで帳簿管理の詳細として使われます。次の項目を持ちます:
- request
- request。
- リクエストボディチャンク長の処理
(デフォルト:null)
- process request end-of-body(初期値 null)
- process early hints response(初期値 null)
- process response(初期値 null)
- process response end-of-body(初期値 null)
- process response consume body(初期値 null)
- process request end-of-body(初期値 null)
- nullまたはアルゴリズム。
- task destination(初期値 null)
- null、グローバルオブジェクト、または並列キュー。
- cross-origin isolated capability(初期値 false)
- 真偽値。
- controller(初期値 新しいfetch controller)
- fetch controller。
- timing info
- fetch timing info。
- preloaded response candidate(初期値 null)
- null、"
pending"、またはresponse。
fetch controllerは、 構造体であり、 fetchの呼び出し元が開始後に特定の操作を行うことを可能にします。次の項目を持ちます:
- state(初期値 "
ongoing") - "
ongoing"、"terminated"、または"aborted"。 - full timing info(初期値 null)
- nullまたはfetch timing info。
- report timing steps(初期値 null)
- nullまたはグローバルオブジェクトを受け取るアルゴリズム。
- serialized abort reason(初期値 null)
- nullまたはRecord(StructuredSerializeの結果)。
- next manual redirect steps(初期値 null)
- nullまたは何も受け取らないアルゴリズム。
fetch controller controllerに対して、global object globalを与えて、report timingするには:
-
Assert: controllerの report timing stepsがnullでないことを確認する。
-
controllerのreport timing stepsを globalで呼び出す。
fetch controller controllerに対してprocess the next manual redirectするには:
-
Assert: controllerの next manual redirect stepsが nullでないことを確認する。
-
controllerのnext manual redirect stepsを呼び出す。
fetch controller controllerに対してextract full timing infoするには:
-
Assert: controllerのfull timing info がnullでないことを確認する。
-
controllerのfull timing infoを返す。
fetch controller controllerに対して、オプションのerrorでabortするには:
-
controllerのstateを"
aborted"に設定する。 -
fallbackErrorを"
AbortError"DOMExceptionとする。 -
errorが与えられなければ、fallbackErrorを設定する。
-
serializedErrorをStructuredSerialize(error)とする。 例外が発生したら、それをキャッチしてserializedErrorを StructuredSerialize(fallbackError)とする。
-
controllerのserialized abort reasonに serializedErrorを設定する。
nullまたはRecord abortReasonとrealm realmを与えて、serialized abort reasonをデシリアライズするには:
-
fallbackErrorを"
AbortError"DOMExceptionとする。 -
deserializedErrorをfallbackErrorとする。
-
abortReasonがnullでなければ、 deserializedErrorに StructuredDeserialize(abortReason, realm)を設定する。 例外が発生したりundefinedを返したら、deserializedErrorをfallbackErrorに設定する。
-
deserializedErrorを返す。
fetch controller
controllerに対してterminateするには、controllerのstateを
"terminated"に設定する。
fetch params
fetchParamsは、そのcontrollerのstateが
"aborted"であれば、abortedである。
fetch params
fetchParamsは、そのcontrollerのstateが
"aborted"または"terminated"であれば、canceledである。
fetch timing infoは、 構造体であり、 Resource TimingやNavigation Timingで必要なタイミング情報を保持します。次の項目を持ちます: [RESOURCE-TIMING] [NAVIGATION-TIMING]
- start time(初期値 0)
- redirect start time(初期値 0)
- redirect end time(初期値 0)
- post-redirect start time(初期値 0)
- final service worker start time (初期値 0)
- final network-request start time (初期値 0)
- first interim network-response start time(初期値 0)
- final network-response start time (初期値 0)
- end time(初期値 0)
- redirect start time(初期値 0)
DOMHighResTimeStamp。- final connection timing info(初期値 null)
- nullまたはconnection timing info。
- service worker timing info(デフォルトは null)
- null または service worker timing info です。
- server-timing headers(初期値 « »)
- 文字列のリスト。
- render-blocking(初期値 false)
- 真偽値。
response body info は、構造体であり、 Resource TimingやNavigation Timingで必要な情報を保持します。次の項目を持ちます: [RESOURCE-TIMING] [NAVIGATION-TIMING]
- encoded size
(初期値 0)
- decoded size (初期値 0)
- 数値。
- content type(初期値 空文字列)
- ASCII文字列。
- content encoding(初期値 空文字列)
- ASCII文字列。
fetch timing info timingInfoを与えてopaque timing infoを作成するには、 timingInfoのstart timeおよび post-redirect start timeが timingInfoのstart timeとなる 新しいfetch timing infoを返す。
アルゴリズムalgorithm、グローバルオブジェクトまたは並列キュー taskDestinationを与えてfetchタスクをキューするには、次の手順を実行する:
-
taskDestinationが並列キューであれば、 enqueue algorithmを taskDestinationへ。
-
それ以外の場合、グローバルタスクをキューする。networking task sourceで taskDestinationおよびalgorithmとともに。
環境設定オブジェクト environment オフラインかどうかを確認するには:
-
ユーザーエージェントがインターネット接続がないと仮定する場合、trueを返す。
-
environmentのWebDriver BiDi ネットワークがオフラインを返す。
整数を直列化するには、最も短い10進数の文字列として表現する。
これは今後、Infraでより詳細なアルゴリズムに置き換えられます。詳しくは infra/201を参照してください。
2.1. URL
ローカルスキームは
「about」、「blob」、または
「data」です。
URLは、そのスキームが ローカルスキームであれば、 ローカルです。
この定義はReferrer Policyでも使用されています。[REFERRER]
HTTP(S)スキームは
「http」または
「https」です。
fetchスキームは
「about」、「blob」、
「data」、「file」、またはHTTP(S)スキームです。
HTTP(S)スキームおよびfetchスキームはHTMLでも使われます。 [HTML]
2.2. HTTP
フェッチはHTTPだけでなくより広い概念を含みますが、多くの概念をHTTPから借用し、それらを他の手段(例:data
URL)で取得したリソースにも適用します。
HTTPタブまたはスペースは U+0009 TAB または U+0020 SPACE です。
HTTP空白はU+000A LF、U+000D CR、またはHTTPタブまたはスペースです。
HTTP空白は、HTTPヘッダー以外の文脈(例:MIMEタイプ)で再利用される特定の構文だけに役立ちます。HTTPヘッダー値ではHTTPタブまたはスペースの使用が推奨され、それ以外の文脈ではASCII空白の方が好まれます。ASCII空白とは異なり、U+000C FFは除外されます。
HTTP改行バイトは 0x0A (LF) または 0x0D (CR) です。
HTTPタブまたはスペースバイトは 0x09 (HT) または 0x20 (SP) です。
HTTP空白バイトは、HTTP改行バイトまたは HTTPタブまたはスペースバイトです。
文字列 input、位置変数 position、および省略可能な真偽値extract-value(初期値はfalse)を与えて HTTP引用文字列を収集するには、次の手順を実行する:
-
positionStartをpositionとする。
-
valueを空文字列とする。
-
positionを1進める。
-
無限ループ:
-
extract-valueがtrueなら、valueを返す。
-
inputのpositionStartからpositionまでの符号位置を返す。
2.2.1. メソッド
メソッドとは、バイト列であり、 methodトークン生成規則に一致するものです。
CORSセーフリストメソッドとは、
メソッドのうち、
`GET`、`HEAD`、`POST` のいずれかです。
禁止メソッドとは、
メソッドのうち、
`CONNECT`、`TRACE`、`TRACK` と
バイト大小区別なしで一致するものです。
[HTTPVERBSEC1]、[HTTPVERBSEC2]、
[HTTPVERBSEC3]
メソッドを正規化するには、それが
`DELETE`、`GET`、`HEAD`、`OPTIONS`、`POST`、`PUT`
のいずれかとバイト大小区別なしで一致する場合、
バイト大文字化すること。
正規化は後方互換性およびAPI間の一貫性のために行われます。実際にはメソッドは「大文字小文字を区別」します。
`patch`を使うとほとんどの場合
`405 Method Not Allowed` になります。`PATCH` のほうが成功しやすいです。
メソッドには制限はありません。`CHICKEN`も完全に許容されます(`CHECKIN`の綴り間違いではありません)。正規化されるもの以外は大文字小文字の制限もありません。`Egg`や`eGg`でも問題ありませんが、一貫性のため大文字を推奨します。
2.2.2. ヘッダー
HTTPでは一般的に、ヘッダーを「フィールド」または「ヘッダーフィールド」と呼びます。ウェブプラットフォームでは、より口語的な「ヘッダー」という用語が使われます。[HTTP]
ヘッダーリストとは、ゼロ個以上のリストであり、 ヘッダーから成ります。初期値は « » です。
ヘッダーリストは本質的に特殊なマルチマップ、すなわち重複するキーを持つ可能性のある順序付きキー・バリューのリストです。`Set-Cookie`以外のヘッダーは常にクライアントサイドJavaScriptに公開される際に結合されるため、実装はより効率的な表現を選択しても問題ありませんが、`Set-Cookie`ヘッダー用の関連するデータ構造はサポートする必要があります。
ヘッダー名nameと文字列typeを ヘッダーリスト listから与えて、 構造化フィールド値を取得 するには、次の手順を実行します。返り値はnullまたは構造化フィールド値です。
-
Assert: typeは"
dictionary"、"list"、"item"のいずれかであること。 -
valueにlistからnameを取得した結果を格納する。
-
valueがnullなら、nullを返す。
-
resultにinput_stringをvalue、header_typeをtypeとしてstructured fieldsをパースした結果を格納する。
-
パースに失敗した場合、nullを返す。
-
resultを返す。
構造化フィールド値の取得は、ヘッダーが存在しない場合と、その値のパースが 構造化フィールド値として失敗した場合を区別しません。これによりウェブプラットフォーム全体で一貫した処理が保証されます。
タプル (ヘッダー名 name、 構造化フィールド値 structuredValue)と ヘッダーリスト listを与えて 構造化フィールド値を設定するには:
-
serializedValueに structured fieldsのシリアライズアルゴリズムをstructuredValueに対して実行した結果を格納する。
-
設定(name, serializedValue)を listに行う。
構造化フィールド値はHTTPが(将来的に)興味深く効率的な方法でシリアライズできるオブジェクトとして定義されています。現時点では、Fetchはヘッダー値をバイト列としてのみサポートしているため、これらのオブジェクトはシリアライズを通じてのみ ヘッダーリストに設定でき、 パースによってのみヘッダーリストから取得できます。将来的にはこれらがエンドツーエンドでオブジェクトとして保持される可能性があります。[RFC9651]
ヘッダー名 nameをヘッダーリスト listから 取得・デコード・分割するには、次の手順を実行する。返り値はnullまたは文字列のリスト。
-
valueに、listからnameを取得した結果を格納する。
-
valueがnullなら、nullを返す。
-
valueを取得・デコード・分割した結果を返す。
取得・デコード・分割が、`A`をname引数として実際にどのように動作するかを示します:
| ヘッダー(ネットワーク上) | 出力 |
|---|---|
| « "nosniff", "" »
|
| |
| « "" » |
| null |
| « "text/html;", x/x" »
|
| |
| « "x/x;test="hi"", "y/y" »
|
| |
| « "x / x", "", "", "1" »
|
| |
| « ""1,2"", "3" »
|
|
ヘッダー値 valueを取得・デコード・分割するには、次の手順を実行します。返り値は文字列のリストです。
-
inputにvalueをisomorphic decodeした結果を格納する。
-
positionをinputの位置変数として、先頭位置に設定する。
-
valuesを文字列のリストとして初期化する(初期値 « »)。
-
temporaryValueを空文字列とする。
-
無限ループ:
-
positionからU+0022 (") または U+002C (,) でない符号位置の列を収集し、その結果をtemporaryValueに追加する。
この結果は空文字列でもよい。
-
positionがinputの末尾を過ぎておらず、かつinputのpositionの符号位置がU+0022 (")なら:
-
input、positionでHTTP引用文字列を収集し、その結果をtemporaryValueに追加する。
- positionがまだ末尾を過ぎていなければcontinue。
-
-
temporaryValueの先頭および末尾からすべてのHTTPタブまたはスペースを除去する。
-
追加 temporaryValueをvaluesに。
-
temporaryValueを空文字列に戻す。
-
positionがinputの末尾を過ぎていれば、valuesを返す。
-
positionを1だけ進める。
-
祝福された呼び出し箇所以外では、このアルゴリズムは直接呼び出してはいけません。代わりに取得・デコード・分割を使ってください。
ヘッダー (name, value) をヘッダーリスト listで結合するには:
結合はXMLHttpRequest
および
WebSocketプロトコルハンドシェイクで使われます。
ヘッダーリスト listをソートおよび結合するには、次の手順を実行する。返り値はヘッダーリスト。
-
headersをヘッダーリストとして初期化する。
-
namesに、list内の全名前をソート済み小文字集合へ変換した結果を格納する。
-
各namesのnameについて:
-
headersを返す。
ヘッダーは、タプルであり、 名前(ヘッダー名)と 値(ヘッダー値)から構成されます。
ヘッダー名は、バイト列であり、 field-nameトークン生成規則に一致するものです。
ヘッダー値は、バイト列であり、次の条件を満たすものです。
-
先頭および末尾にHTTPタブまたはスペースバイトがないこと。
-
0x00 (NUL) やHTTP改行バイトを含まないこと。
ヘッダー値の定義は、field-valueトークン生成規則に基づいていません。これは既存のコンテンツとの非互換性があるためです。
ヘッダー(name, value)がCORSセーフリストリクエストヘッダーかどうかを判定するには、次の手順を実行する:
-
valueの長さが128より大きい場合、falseを返す。
-
バイト小文字化したnameで次の分岐を行う:
- `
accept` -
valueにCORS-unsafeリクエストヘッダーバイトが含まれていれば、falseを返す。
- `
accept-language`- `
content-language` - `
-
valueに、0x30 (0)~0x39 (9)、0x41 (A)~0x5A (Z)、0x61 (a)~0x7A (z)、0x20 (SP)、0x2A (*)、0x2C (,)、0x2D (-)、0x2E (.)、0x3B (;)、0x3D (=) 以外のバイトが含まれていれば、falseを返す。
- `
content-type` -
-
valueにCORS-unsafeリクエストヘッダーバイトが含まれていれば、falseを返す。
-
mimeTypeにMIMEタイプのパースをisomorphic decodeしたvalueに対して行った結果を格納する。
-
mimeTypeがfailureならfalseを返す。
-
mimeTypeのessenceが "
application/x-www-form-urlencoded", "multipart/form-data", "text/plain" 以外ならfalseを返す。
ここではMIMEタイプの抽出アルゴリズムは使いません。これは寛容すぎるためで、サーバー側がそのまま実装することを想定していません。
MIMEタイプの抽出を使った場合、次のリクエストはCORSプリフライトにならず、サーバーの単純なパーサーがリクエストボディをJSONとして扱うかもしれません:
fetch( "https://victim.example/naïve-endpoint" , { method: "POST" , headers: [ [ "Content-Type" , "application/json" ], [ "Content-Type" , "text/plain" ] ], credentials: "include" , body: JSON. stringify( exerciseForTheReader) }); -
- `
range` -
-
rangeValueに単一レンジヘッダー値のパースをvalueとfalseで行った結果を格納する。
-
rangeValueがfailureならfalseを返す。
-
rangeValue[0]がnullならfalseを返す。
ウェブブラウザは歴史的に `
bytes=-500` のようなレンジは出さないため、このアルゴリズムはそれらをセーフリスト化しません。
-
- その他
-
falseを返す。
- `
-
trueを返す。
`Content-Type`ヘッダーのセーフリストには限定的な例外があり、CORSプロトコルの例外に記載されています。
CORS-unsafeリクエストヘッダーバイトとは、バイトbyteが次のいずれかに該当する場合です:
-
byteが0x20未満かつ0x09 HTでない場合
-
byteが0x22(")、0x28(左括弧)、0x29(右括弧)、0x3A(:)、0x3C(<)、0x3E(> )、0x3F(?)、0x40(@)、0x5B([)、0x5C(\)、0x5D(])、0x7B({)、0x7D(})、または0x7F DELの場合。
CORS-unsafeリクエストヘッダー名は、ヘッダーリスト headersに対して次の手順で決定します:
CORSノンワイルドカードリクエストヘッダー名は、ヘッダー名であり、バイト大小区別なしで`Authorization`と一致するものです。
特権no-CORSリクエストヘッダー名は、ヘッダー名であり、 バイト大小区別なしで以下のいずれかと一致するものです。
- `
Range`。
これらは特権APIによって設定できるヘッダーであり、関連するリクエストオブジェクトがコピーされた場合は保持されますが、非特権APIによってリクエストが変更された場合には削除されます。
`Range`ヘッダーは、ダウンロードやメディアの取得によく使われます。
特定のリクエストにRangeヘッダーを追加するためのヘルパーも用意されています。
CORSセーフリストレスポンスヘッダー名は、リスト ヘッダー名 list を与えて、以下のいずれかにバイト大小区別なしで一致するヘッダー名です。
- `
Cache-Control` - `
Content-Language` - `
Content-Length` - `
Content-Type` - `
Expires` - `
Last-Modified` - `
Pragma` - list内の項目で、禁止レスポンスヘッダー名でないもの
no-CORSセーフリストリクエストヘッダー名は、ヘッダー名であり、 バイト大小区別なしで以下のいずれかと一致するものです。
- `
Accept` - `
Accept-Language` - `
Content-Language` - `
Content-Type`
ヘッダー(name, value)がno-CORSセーフリストリクエストヘッダーかどうかを判定するには、次の手順を実行します:
-
nameがno-CORSセーフリストリクエストヘッダー名でなければfalseを返す。
-
(name, value)がCORSセーフリストリクエストヘッダーかどうかを返す。
ヘッダー(name, value)が禁止リクエストヘッダーかどうかは、次の手順でtrueなら該当します:
-
nameが、次のいずれかにバイト大小区別なしで一致すればtrueを返す:
- `
Accept-Charset` - `
Accept-Encoding` - `
Access-Control-Request-Headers` - `
Access-Control-Request-Method` - `
Connection` - `
Content-Length` - `
Cookie` - `
Cookie2` - `
Date` - `
DNT` - `
Expect` - `
Host` - `
Keep-Alive` - `
Origin` - `
Referer` - `
Set-Cookie` - `
TE` - `
Trailer` - `
Transfer-Encoding` - `
Upgrade` - `
Via`
該当すればtrueを返す。
- `
-
nameが、次のいずれかにバイト大小区別なしで一致すれば:
- `
X-HTTP-Method` - `
X-HTTP-Method-Override` - `
X-Method-Override`
その場合:
-
parsedValuesに取得・デコード・分割したvalueの結果を格納する。
-
各parsedValuesのmethodについて、 そのisomorphic encodeが禁止メソッドであればtrueを返す。
- `
-
falseを返す。
これらはユーザーエージェントが完全に制御できるようにするために禁止されています。
ヘッダー名が`Sec-`で始まるものは、新しいヘッダーをAPIで開発者が制御できるfetch系API(例:XMLHttpRequest)で安全に追加できるように予約されています。[XHR]
`Set-Cookie`ヘッダーは意味的にはレスポンスヘッダーであり、リクエストには不要です。また、`Set-Cookie`ヘッダーは結合できないため、Headersオブジェクトではより複雑な処理が必要となります。ここで禁止することで、この複雑さがリクエストに漏れないようにしています。
禁止レスポンスヘッダー名は、ヘッダー名であり、バイト大小区別なしで以下のいずれかに一致するものです。
- `
Set-Cookie` - `
Set-Cookie2`
リクエストボディヘッダー名は、ヘッダー名であり、バイト大小区別なしで以下のいずれかに一致するものです。
- `
Content-Encoding` - `
Content-Language` - `
Content-Location` - `
Content-Type`
ヘッダー headerに対してヘッダー値を抽出するには次の手順を実行します:
整数rangeStart、整数rangeEnd、整数fullLengthを与えてコンテンツレンジを構築するには、次の手順を実行します:
-
contentRangeを`
bytes`とする。 -
rangeStartを直列化し、isomorphic encodeしてcontentRangeに追加する。
-
0x2D (-) をcontentRangeに追加する。
-
rangeEndを直列化し、isomorphic encodeしてcontentRangeに追加する。
-
0x2F (/) をcontentRangeに追加する。
-
fullLengthを直列化し、isomorphic encodeしてcontentRangeに追加する。
-
contentRangeを返す。
バイト列 valueと真偽値allowWhitespaceを与えて単一レンジヘッダー値のパースを行うには、次の手順を実行します:
-
dataにvalueをisomorphic decodeした結果を格納する。
-
dataが"
bytes"で始まらない場合、failureを返す。 -
allowWhitespaceがtrueなら、HTTPタブまたはスペースをdataのpositionから収集する。
-
positionのdataにおける符号位置がU+003D (=)でなければfailureを返す。
-
positionを1進める。
-
allowWhitespaceがtrueなら、HTTPタブまたはスペースをdataのpositionから収集する。
-
rangeStartにdataのpositionからASCII数字の列を収集した結果を格納する。
-
rangeStartValueにrangeStartが空でなければ10進数として解釈した値を、空ならnullを格納する。
-
allowWhitespaceがtrueなら、HTTPタブまたはスペースをdataのpositionから収集する。
-
positionのdataにおける符号位置がU+002D (-)でなければfailureを返す。
-
positionを1進める。
-
allowWhitespaceがtrueなら、HTTPタブまたはスペースをdataのpositionから収集する。
-
rangeEndにdataのpositionからASCII数字の列を収集した結果を格納する。
-
rangeEndValueにrangeEndが空でなければ10進数として解釈した値を、空ならnullを格納する。
-
positionがdataの末尾を過ぎていなければfailureを返す。
-
rangeEndValueとrangeStartValueが両方nullならfailureを返す。
-
rangeStartValueとrangeEndValueが数値で、rangeStartValueがrangeEndValueより大きければfailureを返す。
-
(rangeStartValue, rangeEndValue)を返す。
rangeのendまたはstartは省略可能であり、`
bytes=0-`や`bytes=-500`も有効なレンジです。
単一レンジヘッダー値のパースは許可されるレンジヘッダー値の一部でしか成功しませんが、ユーザーエージェントがメディアやダウンロード再開時に使用する最も一般的な形式です。この形式のレンジヘッダー値はRangeヘッダーを追加で設定できます。
デフォルト`User-Agent`値は、`User-Agent`ヘッダーに対する実装依存のヘッダー値です。
不幸なウェブ互換性の理由から、ウェブブラウザーはこの値を `Mozilla/5.0 (`
で始めること、そして他のウェブブラウザーを一般的に模倣することが強く推奨されています。
環境設定オブジェクト environmentの
環境のデフォルト `User-Agent` 値
を取得するには、次の手順に従う:
-
userAgent を WebDriver BiDi エミュレートされた User-Agent(environment 用)として取得する。
-
userAgent が非 null であれば、userAgent を isomorphic encode されたものとして返す。
ドキュメント`Accept`ヘッダー値は
`text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8`です。
2.2.3. ステータス
ステータスは、0から999までの整数です。
HTTP/1のstatus-codeをこの概念にマッピングする際の様々な端ケースについては、issue #1156で対応中です。
nullボディステータスは、 ステータスが101、103、204、205、または304の場合です。
OKステータスは、ステータスが200から299までの範囲の場合です。
range status(レンジステータス) は、206 または 416 の ステータス です。
redirect status(リダイレクトステータス) は、301、302、 303、307、または 308 の ステータス です。
2.2.4. ボディ
ボディは次の要素から成ります:
-
ストリーム(
ReadableStreamオブジェクト) -
長さ(nullまたは整数)、初期値はnull
ボディ bodyを複製するには、次の手順を実行します:
ボディ bodyを逐次的に読み込むには、アルゴリズムprocessBodyChunk、アルゴリズムprocessEndOfBody、アルゴリズムprocessBodyError、および省略可能なnull/並列キューまたはグローバルオブジェクト taskDestination(デフォルトnull)を与えて、次の手順を実行します。 processBodyChunkはバイト列を受け取るアルゴリズム、processEndOfBodyは引数なしアルゴリズム、processBodyErrorは例外を受け取るアルゴリズムでなければなりません。
-
taskDestinationがnullなら、新しい並列キューの開始の結果をtaskDestinationに設定する。
-
readerにbodyのストリームに対してリーダーの取得を実行した結果を格納する。
この操作で例外はスローされません。
-
逐次読み込みループをreader、taskDestination、processBodyChunk、processEndOfBody、processBodyErrorで実行する。
ReadableStreamDefaultReader
オブジェクトreader、並列キューまたはグローバルオブジェクト
taskDestination、アルゴリズムprocessBodyChunk、アルゴリズムprocessEndOfBody、アルゴリズムprocessBodyErrorを与えて逐次読み込みループを実行するには:
-
readRequestを次の読取リクエストとする:
- chunk steps(chunkを与えて)
-
-
continueAlgorithmをnullとする。
-
chunkが
Uint8Arrayオブジェクトでなければ、continueAlgorithmを「processBodyErrorにTypeErrorを与えて実行する」に設定する。 -
それ以外の場合:
-
fetchタスクをキューでcontinueAlgorithmとtaskDestinationを与えて実行する。
-
- close steps
-
-
fetchタスクをキューでprocessEndOfBodyとtaskDestinationを与えて実行する。
-
- error steps(eを与えて)
-
-
fetchタスクをキューでprocessBodyErrorにeを与え、taskDestinationで実行する。
-
-
チャンクの読み取りをreaderにreadRequestを与えて実行する。
ボディ bodyを完全に読み込むには、アルゴリズムprocessBody、アルゴリズムprocessBodyError、および省略可能なnull/並列キューまたはグローバルオブジェクト taskDestination(デフォルトnull)を与えて、次の手順を実行します。processBodyはバイト列を受け取るアルゴリズム、processBodyErrorはオプションで例外を受け取るアルゴリズムでなければなりません。
-
taskDestinationがnullなら、新しい並列キューの開始の結果をtaskDestinationに設定する。
-
successStepsをバイト列 bytesを受け取り、 fetchタスクをキューでprocessBodyにbytesを与えtaskDestinationで実行する手順とする。
-
errorStepsを(オプションの例外 exceptionを受け取り) fetchタスクをキューでprocessBodyErrorにexceptionを与えtaskDestinationで実行する手順とする。
-
readerにbodyのストリームに対してリーダーの取得を実行した結果を格納する。例外が発生した場合、errorStepsをその例外で実行し終了する。
-
全バイトの読み取りをreaderでsuccessStepsとerrorStepsを与えて実行する。
型付きボディは、タプルであり、 ボディ(ボディ)と 型(ヘッダー値またはnull)から構成されます。
codingsとbytesを与えてコンテンツ符号化の処理を行うには、次の手順を実行します:
-
codingsがサポートされていなければ、bytesを返す。
-
HTTPの説明通りにcodingsでbytesをデコードした結果(エラーでなければ)を返し、デコードに失敗したらfailureを返す。[HTTP]
2.2.5. リクエスト
この節ではリクエストの詳細な動作を記述します。導入は リクエストのセットアップを参照してください。
fetchの入力はリクエストです。
リクエストには、関連付けられたメソッド(メソッド)があります。特に記載がない限り、`GET`です。
これはリダイレクト時にGETへ更新される場合があります。詳細はHTTP fetchを参照。
リクエストには、関連付けられたURL (URL)があります。
実装はこれをURLのリストの最初の要素へのポインタとしてもよいです。これはFetchにフックする他仕様の便宜のためだけに独立したフィールドとして提供されています。
リクエストには、関連付けられたローカルURLのみフラグがあります。特に記載がない限り、未設定です。
リクエストには、関連付けられたヘッダーリスト(ヘッダーリスト)があります。特に記載がない限り、« » です。
リクエストには、関連付けられたunsafe-requestフラグがあります。特に記載がない限り、未設定です。
unsafe-requestフラグは、
fetch()や
XMLHttpRequest
などのAPIによって設定され、指定されたメソッドや
ヘッダーリストに基づいて
CORSプリフライトフェッチが確実に行われるようにします。
ただし、APIが禁止メソッドや
禁止リクエストヘッダーを認めない義務から解放されるわけではありません。
リクエストには、関連付けられたボディ(null、バイト列、またはボディ)があります。特に記載がない限り、nullです。
バイト列は、安全に抽出されて早い段階でボディになります。HTTP fetchの一部として、特定のリダイレクトでこのフィールドがnullになる場合があります。
リクエストには、関連付けられたクライアント(nullまたは環境設定オブジェクト)があります。
リクエストには、関連付けられた予約クライアント(null、環境、または環境設定オブジェクト)。特に記載がない限り、nullです。
これはナビゲーションリクエストやワーカーリクエストのみで使われ、サービスワーカリクエストでは使われません。ナビゲーションリクエストでは環境、ワーカーリクエストでは環境設定オブジェクトを参照します。
リクエストには、関連付けられたクライアント置換ID(文字列)があります。特に記載がない限り、空文字列です。
これはナビゲーションリクエストでのみ使われます。IDは、ターゲット閲覧コンテキストのアクティブドキュメントの環境設定オブジェクトのIDです。
リクエストには、関連付けられたユーザプロンプト用トラバーサブルがあり、
"no-traversable"、"client"、またはトラバーサブルナビゲーブルです。特に記載がない限り"client"です。
これは、認証プロンプトやクライアント証明書ダイアログなど、リクエストに関連するUIを表示するか、どこに表示するかを決定するために使われます。
- "
no-traversable" - UIは表示されません。通常、このリクエストはネットワークエラーで失敗します。
- "
client" - この値は、トラバーサブルナビゲーブルまたは"
no-traversable"にfetch処理中に自動的に変更されます。これによって他の標準仕様が明示的に設定しなくても済みます。 - トラバーサブルナビゲーブル
- 表示されるUIは、そのトラバーサブルナビゲーブルを表示しているブラウザインターフェース要素に関連付けられます。
リクエストに関連するユーザーインターフェースをそのリクエストのユーザプロンプト用トラバーサブルで表示する場合、ユーザーエージェントはアドレスバーをリクエストの現在のURLに由来する値(例えば、リクエストの発起元のURLではなく)で更新すべきです。また、特にクロスオリジンリクエストの場合、ユーザーエージェントはプロンプトの背後にリクエストの発起元コンテンツを表示しないようにすべきです。このようなプロンプトの背後は空白ページにするのがよいでしょう。これらの指針に従わないと、どのオリジンがプロンプトの責任を持つのかユーザーが混乱します。
リクエストには、関連付けられたboolean型のkeepaliveがあります。特に記載がない限り、falseです。
これは、例えばnavigator.sendBeacon()やHTMLのimg要素のように、リクエストが環境設定オブジェクトより長寿命になることを許可するために使われます。これがtrueの場合、追加の処理要件が課されます。
リクエストには、関連付けられたinitiator
typeがあり、null、"audio"、"beacon"、"body"、"css"、"early-hints"、"embed"、"fetch"、"font"、"frame"、"iframe"、"image"、"img"、"input"、"link"、"object"、"ping"、"script"、"track"、"video"、"xmlhttprequest"、"other"のいずれかです。特に記載がない限りnullです。[RESOURCE-TIMING]
リクエストには、関連付けられたservice-workersモードがあり、"all"または"none"です。特に記載がない限り、"all"です。
これは、このフェッチに対してどのサービスワーカーがfetchイベントを受け取るかを決定します。
- "
all" - 関連するサービスワーカーはこのフェッチに対する
fetchイベントを受け取ります。 - "
none" - どのサービスワーカーもこのフェッチに対してイベントを受け取りません。
リクエストには、関連付けられたinitiatorがあり、空文字列、"download"、"imageset"、"manifest"、"prefetch"、"prerender"、または"xslt"のいずれかです。特に記載がない限り空文字列です。
リクエストのinitiatorは今のところあまり細かく分かれていません。他の仕様がそれを必要としていないためです。これは主にCSPや混在コンテンツを定義するための仕様上の補助的な属性です。JavaScriptには公開されません。[CSP] [MIX]
宛先タイプは、
次のいずれかである:
空文字列、
「audio」、
「audioworklet」、
「document」、
「embed」、
「font」、
「frame」、
「iframe」、
「image」、
「json」、
「manifest」、
「object」、
「paintworklet」、
「report」、
「script」、
「serviceworker」、
「sharedworker」、
「style」、
「text」、
「track」、
「video」、
「webidentity」、
「worker」、
または
「xslt」。
リクエストには、関連付けられたdestination(destination type)があります。特に記載がない限り空文字列です。
これらはRequestDestinationで反映されますが、"serviceworker"と"webidentity"は該当しません。これらのdestinationではサービスワーカーをスキップします。
リクエストのdestinationがscript-likeとなるのは、"audioworklet"、"paintworklet"、"script"、"serviceworker"、"sharedworker"、または"worker"の場合です。
script-likeを利用するアルゴリズムは、"xslt"もスクリプト実行の原因となり得るため考慮すべきです。ただし、常に該当するとは限らず異なる動作が必要な場合があるためリストには含まれていません。
次の表は、リクエストの initiator、destination、CSPディレクティブ、および各機能との関係を示しています。機能については網羅的ではありません。各機能は、それぞれの現行標準で関連値を定義する必要があります。
| Initiator | Destination | CSPディレクティブ | 機能 |
|---|---|---|---|
| "" | "report"
| — | CSP、NELレポート |
"document"
| HTMLのnavigateアルゴリズム(トップレベルのみ) | ||
"frame"
| child-src
| HTMLの<frame>
| |
"iframe"
| child-src
| HTMLの<iframe>
| |
| "" | connect-src
| navigator.sendBeacon()、EventSource、
HTMLの<a ping="">および<area ping="">、
fetch()、fetchLater()、XMLHttpRequest、
WebSocket、
WebTransport、
Cache API
| |
"object"
| object-src
| HTMLの<object>
| |
"embed"
| object-src
| HTMLの<embed>
| |
"audio"
| media-src
| HTMLの<audio>
| |
"font"
| font-src
| CSSの@font-face
| |
"image"
| img-src
| HTMLの<img src>、/favicon.icoリソース、
SVGの<image>、CSSのbackground-image、CSSの
cursor、CSSのlist-style-image、…
| |
"audioworklet"
| script-src
| audioWorklet.addModule()
| |
"paintworklet"
| script-src
| CSS.paintWorklet.addModule()
| |
"script"
| script-src
| HTMLの<script>、importScripts()
| |
"serviceworker"
| child-src、script-src、worker-src
| navigator.serviceWorker.register()
| |
"sharedworker"
| child-src、script-src、worker-src
| SharedWorker
| |
"webidentity"
| connect-src
| Federated Credential Management requests
| |
"worker"
| child-src、script-src、worker-src
| Worker
| |
"json"
| connect-src
| import "..." with { type: "json" }
| |
"style"
| style-src
| HTMLの<link rel=stylesheet>、CSSの@import、
import "..." with { type: "css" }
| |
"text"
| connect-src
| import "..." with { type: "text" }
| |
"track"
| media-src
| HTMLの<track>
| |
"video"
| media-src
| HTMLの<video>要素
| |
"download"
| "" | — | HTMLのdownload=""、"リンク先を名前を付けて保存…" UI
|
"imageset"
| "image"
| img-src
| HTMLの<img srcset>や<picture>
|
"manifest"
| "manifest"
| manifest-src
| HTMLの<link rel=manifest>
|
"prefetch"
| "" | default-src(特定ディレクティブなし)
| HTMLの<link rel=prefetch>
|
"prerender"
| HTMLの<link rel=prerender>
| ||
"xslt"
| "xslt"
| script-src
| <?xml-stylesheet>
|
CSPのform-actionはHTMLのnavigateやフォーム送信アルゴリズムに直接フックする必要があります。
CSPはまた、リクエストのクライアントの
グローバルオブジェクトの対応するDocumentの
祖先ナビゲーブルも、さまざまなCSPディレクティブで確認する必要があります。
リクエストには、関連付けられた
priorityがあり、"high"、"low"、"auto"のいずれかです。特に記載がない限り"auto"です。
リクエストには、関連付けられた 内部priority(nullまたは 実装依存オブジェクト)があります。特に記載がない限りnullです。
リクエストには、関連付けられた
originがあり、
"client"またはオリジンです。特に記載がない限り"client"です。
"client"はオリジンにfetch処理中に変更されます。これにより、他の標準が
リクエストのoriginを明示的に設定しなくても済みます。
リクエストには、関連付けられた トップレベルナビゲーションinitiatorのoriginがあり、 オリジン またはnullです。特に記載がない限りnullです。
リクエストには、関連付けられた
ポリシーコンテナがあり、
"client"またはポリシーコンテナです。特に記載がない限り"client"です。
"client"はポリシーコンテナにfetch処理中に変更されます。これにより、他の標準が
リクエストのポリシーコンテナを明示的に設定しなくても済みます。
リクエストには、関連付けられた
referrerがあり、
"no-referrer"、"client"またはURLです。特に記載がない限り
"client"です。
"client"はfetch処理中に"no-referrer"またはURLに変更されます。これにより、他の標準が
リクエストのreferrerを明示的に設定しなくても済みます。
リクエストには、関連付けられた referrer policyがあり、 referrer policyです。特に記載がない限り空文字列です。[REFERRER]
これは、このリクエストに使うreferrer policyを上書きするために使えます。
リクエストには、
関連付けられた
mode(モード)が存在します。これは
"same-origin"、"cors"、"no-cors"、
"navigate"、"websocket" または "webtransport" のいずれかです。
特に指定がない限り、"no-cors" です。
- "
same-origin" - 同一オリジンのURLへのリクエストを保証するために使われます。fetchは、リクエストが同一オリジンURLでない場合、ネットワークエラーを返します。
- "
cors" - レスポンスタインティングが"
cors"に設定されるリクエストの場合、このリクエストをCORSリクエストとし、リソースがCORSプロトコルに対応しなかったり、意図的に不参加の場合はネットワークエラーを返します。 - "
no-cors" - CORSセーフリストメソッドおよびCORSセーフリストリクエストヘッダーのみ利用可能に制限。成功時はopaque filtered responseを返します。
- "
navigate" - これは、ドキュメントのナビゲーション時にのみ使われる特別なモードです。
- "
websocket" - これは、WebSocket接続の確立時にのみ使われる特別なモードです。
- "
webtransport" - これは、
WebTransport(url, options)のみで使用される特別なモードです。
デフォルトのリクエストのmodeは"no-cors"ですが、新しい機能ではこれを使わないことが強く推奨されます。これは非常に安全ではありません。
リクエストには、関連付けられた use-CORS-preflightフラグがあります。特に記載がない限り、未設定です。
use-CORS-preflightフラグが設定されている場合、CORSプリフライトリクエストとなる条件の一つです。このフラグは、XMLHttpRequestUpload
オブジェクトに1つ以上のイベントリスナーが登録されている場合や、リクエストにReadableStream
オブジェクトが使用されている場合に設定されます。
リクエストには、関連付けられた
credentials modeがあり、
"omit"、"same-origin"、"include"のいずれかです。特に記載がない限り、"same-origin"です。
- "
omit" - このリクエストから認証情報(credentials)を除外し、レスポンスで送信された認証情報も無視します。
- "
same-origin" - 同一オリジンのURLへのリクエストには認証情報を含め、同一オリジンからのレスポンスの認証情報も利用します。
- "
include" - 常にこのリクエストに認証情報を含め、レスポンスに含まれる認証情報も常に利用します。
リクエストのcredentials modeは、認証情報のfetch中の流れを制御します。リクエストのmodeが"navigate"の場合、そのcredentials
modeは"include"とみなされ、fetchは現状他の値を考慮しません。HTML側の仕様変更があれば、この標準も対応が必要です。
リクエストには、関連付けられた use-URL-credentialsフラグがあります。特に記載がない限り、未設定です。
このフラグが設定されている場合、リクエストのURLにユーザー名とパスワードがあり、利用可能な認証エントリがある場合、URLの認証情報が認証エントリより優先されます。URLに認証情報を含めることは推奨されていないため、現行の仕様ではこのフラグを設定しないことが多いですが、互換性のため古い機能で設定される場合があります。
リクエストには、関連付けられた
cache modeがあり、
"default"、"no-store"、"reload"、"no-cache"、"force-cache"、"only-if-cached"のいずれかです。特に記載がない限り"default"です。
- "
default" - Fetchはネットワークに行く前にHTTPキャッシュを確認します。HTTPキャッシュに一致する新鮮なレスポンスがあればそれを返します。一致するstale-while-revalidateレスポンスがあればそれを返しつつ条件付きネットワークリクエストを送りキャッシュを更新します。一致する古いレスポンスがあれば条件付きネットワークリクエストを返します。それ以外は非条件付きネットワークリクエストを返します。[HTTP] [HTTP-CACHING] [STALE-WHILE-REVALIDATE]
- "
no-store" - FetchはHTTPキャッシュがまったく存在しないかのように動作します。
- "
reload" - Fetchはネットワークに行く前にHTTPキャッシュがないかのように動作します。つまり、通常のリクエストを作成し、レスポンスでHTTPキャッシュを更新します。
- "
no-cache" - HTTPキャッシュにレスポンスがあれば条件付きリクエストを作成し、なければ通常のリクエストを作成します。その後レスポンスでHTTPキャッシュを更新します。
- "
force-cache" - Fetchはリクエストに一致するHTTPキャッシュ内のレスポンスを鮮度に関係なく使用します。なければ通常のリクエストを作成し、レスポンスでキャッシュを更新します。
- "
only-if-cached" - Fetchはリクエストに一致するHTTPキャッシュ内のレスポンスを鮮度に関係なく使用します。なければネットワークエラーを返します(このモードはリクエストのmodeが"
same-origin"の場合のみ使用可能)。キャッシュされたリダイレクトはリクエストのredirect modeが"follow"で、そのリダイレクトがリクエストのmodeに違反しない場合にのみ追従されます。
ヘッダーリストが含む
`If-Modified-Since`,
`If-None-Match`,
`If-Unmodified-Since`,
`If-Match`, または
`If-Range`
のいずれかが含まれる場合、fetchは
cache
modeを"default"なら"no-store"に設定します。
リクエストには、関連付けられた
redirect modeがあり、
"follow"、"error"、"manual"のいずれかです。特に記載がない限り"follow"です。
- "
follow" - リソースのフェッチ時に発生したすべてのリダイレクトを追従します。
- "
error" - リクエストがリダイレクトに遭遇した場合、ネットワークエラーを返します。
- "
manual" - サービスワーカーがリダイレクトをオフラインで再現できるよう、リダイレクトに遭遇した際にopaque-redirect filtered responseを返します。それ以外はネットワークエラーと区別できません。atomic HTTPリダイレクト処理に違反しないようにしています。
リクエストには、関連付けられた integrity metadata (文字列)があります。特に記載がない限り、空文字列です。
リクエストには、関連付けられた 暗号ノンスmetadata (文字列)があります。特に記載がない限り、空文字列です。
リクエストには、関連付けられた
パーサmetadata
(空文字列、"parser-inserted"、または"not-parser-inserted")があります。特に記載がない限り、空文字列です。
リクエストの暗号ノンスmetadataおよびパーサmetadataは、通常、リクエストを生成したHTML要素の属性やフラグから設定されます。これらはContent Security Policyの様々なアルゴリズムで、リクエストやレスポンスが特定のコンテキストでブロックされるかどうかの判定に使われます。[CSP]
リクエストには、関連付けられた reload-navigationフラグがあります。特に記載がない限り、未設定です。
このフラグはHTMLのnavigateアルゴリズム専用です。[HTML]
リクエストには、関連付けられた history-navigationフラグがあります。特に記載がない限り、未設定です。
このフラグはHTMLのnavigateアルゴリズム専用です。[HTML]
リクエストには、関連付けられた boolean型のuser-activationがあります。特に記載がない限り、falseです。
これはHTMLのnavigateアルゴリズム専用です。[HTML]
リクエストは、 関連付けられたWebDriver navigation id (null または文字列)を持つ。特に断りのない限り、これは null である。
これは HTML の navigate アルゴリズム専用である。[HTML]
リクエストは、 関連付けられた真偽値の render-blocking を持つ。特に断りのない限り、これは false である。
このフラグは HTML の render-blocking 機構専用である。[HTML]
リクエストは、 関連付けられた WebTransport-hash list( WebTransport-hash list)を持つ。特に断りのない限り、これは « » である。
WebTransport-hash list は、0 個以上の WebTransport-hash からなる リスト である。
WebTransport-hash は、タプル であり、 algorithm(文字列)と、 value(バイト列)から構成される。
このリストは、WebTransport(url, options)
において、
options が serverCertificateHashes
を含む場合にのみ使用される。
リクエストは、 関連付けられた URL list(1 個以上の URL からなる リスト)を持つ。特に断りのない限り、これは リクエスト の URL のコピーを含むリストである。
リクエストは、 関連付けられた current URL を持つ。これは、 リクエスト の URL list 内の最後の URL を指すポインタである。
リクエストは、 関連付けられた redirect count を持つ。特に断りのない限り、これは 0 である。
リクエストは、
関連付けられた
response tainting
を持ち、これは "basic"、"cors"、または "opaque" である。
特に断りのない限り、これは "basic" である。
リクエストは、 関連付けられた prevent no-cache cache-control header modification flag を持つ。特に断りのない限り、これは未設定である。
リクエストは、 関連付けられた done flag を持つ。特に断りのない限り、これは未設定である。
リクエストは、 関連付けられた timing allow failed flag を持つ。特に断りのない限り、これは未設定である。
リクエストには、 関連付けられた ナビゲーションタイミング許可値リスト(リストのリストであり、各要素は文字列)がある。 別段の定めがない限り、それは « » である。
項目それぞれは、ナビゲーションタイミング許可値リスト内で、
ナビゲーションのリダイレクトチェーンにある1つのリダイレクトレスポンスの
`Timing-Allow-Origin` 値を保持する。
リクエストのURLリスト、現在のURL、 リダイレクト数、レスポンス 汚染、 完了フラグ、タイミング許可失敗フラグ、および ナビゲーションタイミング許可値リストは、 fetchアルゴリズムによって、 帳簿付けの詳細として用いられる。
リクエストには、 関連付けられた WebDriver id がある。これはランダムUUIDを生成する結果であり、リクエストが 作成されるときに設定される。[WEBCRYPTO]
WebDriver idはWebDriver-BiDiによって用いられる。これは、 初期リクエストのリダイレクト、認証試行、およびCORS-preflight fetchを通じて一定のままである。 リクエストが複製されると、作成されたリクエストには一意の WebDriver idが与えられる。[WEBDRIVER-BIDI]
サブリソースリクエスト
とは、リクエストであって、
その宛先が "audio"、
"audioworklet"、
"font"、"image"、"json"、"manifest"、
"paintworklet"、"script"、"style"、"text"、
"track"、"video"、"xslt"、または空文字列であるものをいう。
非サブリソース
リクエストとは、リクエストであって、
その宛先が "document"、
"embed"、
"frame"、"iframe"、"object"、"report"、
"serviceworker"、"sharedworker"、または "worker" であるものをいう。
ナビゲーションリクエスト
とは、リクエストであって、
その
宛先が
"document"、"embed"、"frame"、"iframe"、
または "object" であるものをいう。
これらの用語の使用については、handle fetchを参照。 [SW]
リクエスト
requestの
redirect-taintを計算するには、次の手順を実行する。
それらは
"same-origin"、"same-site"、または "cross-site" を返す。
-
lastURLをnullとする。
-
taintを "
same-origin" とする。 -
taintを返す。
リクエストrequestが与えられたとき、 リクエストオリジンの直列化は、 次の手順を実行することである:
-
requestのredirect-taintが "
same-origin" でないなら、 "null" を返す。
リクエスト requestが与えられたとき、 リクエストオリジンのバイト直列化は、 requestを用いてリクエストオリジンを直列化する結果を 同型エンコードしたものを返すことである。
リクエスト requestを 複製するには、次の手順を実行する:
-
newRequestを、requestのコピーとする。ただし、その body およびWebDriver idを除く。
-
newRequestのWebDriver idを、 ランダムUUIDを生成する結果に設定する。[WEBCRYPTO]
-
requestのbodyが非nullなら、newRequestの body を、requestの bodyを複製する結果に設定する。
-
newRequestを返す。
リクエスト requestに、整数firstと、省略可能な整数 lastを用いて、 範囲ヘッダーを追加するには、次の手順を実行する:
-
Assert: lastが与えられていない、またはfirstは last以下である。
-
rangeValueを `
bytes=` とする。 -
0x2D (-) をrangeValueに付加する。
範囲ヘッダーは包含的なバイト範囲を表す。 firstが0でlastが500である範囲ヘッダーは、501バイトの範囲である。
複数のレスポンスを1つの論理リソースに結合する機能は、歴史的に セキュリティバグの原因となってきた。部分レスポンスを扱う機能については、セキュリティレビューを求めること。
レスポンス responseが与えられたとき、 報告用にレスポンスURLを直列化するには、次の手順を実行する:
-
urlを、responseのURLリスト[0]のコピーとする。
これは、リダイレクト先についての情報漏えいを避けるため、 responseのURLではない (CSP報告における同様の考慮事項も参照)。 [CSP]
-
urlが与えられたものとして、ユーザー名を設定する。値は空文字列とする。
-
urlが与えられたものとして、パスワードを設定する。値は空文字列とする。
-
exclude fragmentをtrueに設定して、 urlの直列化を返す。
リクエスト requestが与えられたとき、 Cross-Origin-Embedder-Policyが 資格情報を許可するかどうかを確認するには、次の手順を実行する:
-
requestのmodeが "
no-cors" でないなら、trueを返す。 -
requestのclientがnullなら、trueを返す。
-
requestのclientの ポリシーコンテナーの 埋め込みポリシーの値が "
credentialless" でないなら、trueを返す。 -
requestのoriginが、 requestの現在のURLのoriginとsame originであり、かつrequestの redirect-taintが "
same-origin" でないなら、trueを返す。 -
falseを返す。
2.2.6. レスポンス
fetchの結果は レスポンスである。レスポンスは 時間とともに変化する。すなわち、そのすべてのフィールドが直ちに利用可能になるわけではない。
レスポンスには、
関連付けられた
typeがあり、これは
"basic"、
"cors"、
"default"、
"error"、
"opaque"、または
"opaqueredirect" である。
別段の定めがない限り、それは "default" である。
レスポンスは、 関連付けられた 中止フラグを持つことができ、これは初期状態では未設定である。
これは、そのリクエストが開発者または エンドユーザーによって意図的に中止されたことを示す。
レスポンスには、 関連付けられた URLがある。これは、 レスポンスのURL リスト内の最後の URLへの ポインターであり、 レスポンスのURL リストが空である場合はnullである。
レスポンスには、 関連付けられた URLリスト(0個以上の URLからなるリスト)がある。 別段の定めがない限り、それは « » である。
最初と最後の URLを除き、存在する場合でも、レスポンスの URL リストはスクリプトに直接公開されない。そうすると アトミックHTTPリダイレクト処理に違反するためである。
レスポンスには、 関連付けられた statusがあり、これはstatusである。 別段の定めがない限り、それは200である。
レスポンスには、 関連付けられた status messageがある。別段の定めがない限り、 それは空のバイト列である。
HTTP/2接続上のレスポンスは常に、status messageとして空のバイト列を持つ。HTTP/2はそれらをサポートしないためである。
レスポンスには、 関連付けられた ヘッダーリスト( ヘッダーリスト)がある。 別段の定めがない限り、それは « » である。
レスポンスには、 関連付けられた body(nullまたは body)がある。別段の定めがない限り、 それはnullである。
ネットワークの レスポンスのbodyにおける sourceおよびlengthの概念は、常にnullである。
レスポンスには、
関連付けられた
キャッシュ状態(空文字列、
"local"、または "validated")がある。別段の定めがない限り、それは空の
文字列である。
これはService Workersおよび Resource Timingによる使用を意図している。[SW] [RESOURCE-TIMING]
レスポンスには、 関連付けられた CORS公開ヘッダー名リスト (0個以上のヘッダー 名からなるリスト)がある。このリストは、 別段の指定がない限り空である。
レスポンスは通常、
`Access-Control-Expose-Headers` ヘッダーから
ヘッダー値を抽出することで、
その
CORS公開ヘッダー名リストが設定される。
このリストは、
CORSフィルター済みレスポンスによって、どのヘッダーを
公開するかを決定するために用いられる。
レスポンスには、 関連付けられた 範囲要求済みフラグがあり、これは 初期状態では未設定である。
これは、範囲リクエストを行っていないAPIに対して、以前の範囲リクエストからの 部分レスポンスが提供されるのを防ぐために用いられる。この攻撃の詳細な説明については、 このフラグの使用箇所を参照。
レスポンスには、 関連付けられたrequest-includes-credentials (真偽値)があり、これは初期状態ではtrueである。
レスポンスには、 関連付けられた タイミング許可通過フラグがあり、これは 初期状態では未設定である。
これは、fetchの呼び出し元が、返されたレスポンスのフラグを見ることで、 取得されたリソースについて機微なタイミングデータが許可されているかどうかを判断できるようにするために用いられる。 リダイレクトのレスポンスにおけるフラグは、リダイレクトチェーン内の以前のレスポンスで設定されていた場合には 設定されなければならないため、これは内部的にもリクエストのタイミング許可失敗フラグを用いて追跡される。
レスポンスには、 関連付けられた ナビゲーションタイミング許可値リスト(リストの リストであり、各要素は文字列)がある。 別段の定めがない限り、それは « » である。
これは、ナビゲーションのリダイレクトチェーン内の各リダイレクト
レスポンスの
`Timing-Allow-Origin` 値を保持する。これは、呼び出し元が、
ナビゲーションの宛先オリジンが判明した後に、そのオリジンがリダイレクトチェーン内のすべての
リダイレクトによって許可されているかどうかを判断できるようにするために用いられる。
レスポンスには、 関連付けられた body info (response body info)がある。別段の定めがない限り、それは新しい response body infoである。
レスポンスには、 関連付けられた service worker timing info(nullまたは service worker timing info)があり、これは初期状態ではnullである。
レスポンスには、
関連付けられたredirect taint
("same-origin"、"same-site"、または "cross-site")があり、これは
初期状態では "same-origin" である。
ネットワークエラーとは、
レスポンスであって、
その
typeが
"error"、statusが0、
status messageが空のバイト列、
ヘッダーリストが « »、bodyがnull、かつ
body
infoが新しいresponse
body infoであるものをいう。
中止された ネットワークエラーとは、 ネットワークエラーであって、 その中止 フラグが設定されているものをいう。
fetch params fetchParamsが与えられたとき、 適切なネットワークエラーを作成するには:
-
fetchParamsが 中止済みである場合は中止されたネットワークエラーを返し、 そうでない場合はネットワークエラーを返す。
フィルター済み レスポンスとは、関連付けられたレスポンスに対する限定されたビューを提供する レスポンスである。この関連付けられた レスポンスは、 フィルター済みレスポンスの 内部レスポンス( レスポンスであって、 ネットワーク エラーでも フィルター済み レスポンスでもないもの)を通じてアクセスできる。
別段の定めがない限り、フィルター済みレスポンスの関連概念(たとえばその body)は、 その 内部 レスポンスの関連概念を参照する。(これに対する例外は、フィルター済みレスポンスの具体的な型を定義する一部として 以下に列挙される。)
fetchアルゴリズムは、 processResponseおよび 同等のパラメーターを介して、呼び出し元にフィルター済みレスポンスを公開し、情報を 誤って漏えいしないようにする。レガシー上の理由、たとえば画像データをデコーダーに渡すために、 情報を明らかにする必要がある場合は、関連付けられた内部レスポンスを 仕様アルゴリズムで使用できる。
新しい仕様は、opaque filtered responsesまたは opaque-redirect filtered responsesの上に さらに構築すべきではない。これらはレガシー構成要素であり、現代のコンピューターアーキテクチャを考えると、 常に十分に保護できるとは限らない。
basic
filtered responseとは、
フィルター済み
レスポンスであって、その
typeが
"basic" であり、
ヘッダーリストが、
内部
レスポンスの
ヘッダーリスト内にある
ヘッダーのうち、
その
nameが
禁止レスポンスヘッダー名であるものを除外するものをいう。
CORS filtered
responseとは、
フィルター済み
レスポンスであって、その
typeが
"cors" であり、
ヘッダーリストが、
内部
レスポンスの
ヘッダーリスト内にある
ヘッダーのうち、
その
nameが、
内部
レスポンスの
CORS公開ヘッダー名リストが与えられたときに、
CORSセーフリスト済みレスポンスヘッダー名では
ないものを除外するものをいう。
opaque
filtered responseとは、
フィルター済み
レスポンスであって、その
typeが
"opaque"、
URL
リストが « »、
statusが
0、
status messageが空のバイト列、
ヘッダーリストが « »、
bodyがnull、
かつ
body
infoが新しいresponse
body infoであるものをいう。
opaque-redirect filtered response
とは、フィルター済みレスポンスであって、その
typeが
"opaqueredirect"、
statusが
0、
status messageが空のバイト列、
ヘッダーリストが « »、
bodyがnull、
かつ
body
infoが新しいresponse
body infoであるものをいう。
opaque-redirect filtered responsesについて URLリストを公開することは無害である。 リダイレクトが追従されないためである。
言い換えると、opaque filtered responseと opaque-redirect filtered responseは、 ネットワークエラーとほとんど区別できない。 新しいAPIを導入する際には、内部仕様アルゴリズムのために 内部レスポンスを使用してはならない。 そうすると情報が漏えいするためである。
これはまた、
response.okのようなJavaScript APIが、
かなり役に立たない結果を返すことも意味する。
typeは
レスポンスの
スクリプトに対して、
type
ゲッターを通じて公開される:
console. log( new Response(). type); // "default"
console. log(( await fetch( "/" )). type); // "basic"
console. log(( await fetch( "https://api.example/status" )). type); // "cors"
console. log(( await fetch( "https://crossorigin.example/image" , { mode: "no-cors" })). type); // "opaque"
console. log(( await fetch( "/surprise-me" , { redirect: "manual" })). type); // "opaqueredirect"
(これは、各種リソースが存在し、https://api.example/statusが
適切なCORSヘッダーを持ち、/surprise-meがリダイレクトステータスを用いることを前提とする。)
レスポンス responseを 複製するには、次の手順を実行する:
-
responseがフィルター済みレスポンスである場合、 その内部 レスポンスがresponseの 内部レスポンスの複製である、新しい同一の フィルター済みレスポンスを返す。
-
newResponseを、responseのコピーとする。ただし、その bodyを除く。
-
responseのbodyが非nullなら、 newResponseのbodyを、 responseのbodyを 複製する結果に設定する。
-
newResponseを返す。
新鮮なレスポンス とは、レスポンスであって、 その 現在の齢がその鮮度寿命の範囲内にあるものをいう。
stale-while-revalidate responseとは、 レスポンスであって、 新鮮な レスポンスではなく、かつその現在の 齢が stale-while-revalidate寿命の範囲内にあるものをいう。 [HTTP-CACHING] [STALE-WHILE-REVALIDATE]
陳腐なレスポンス とは、レスポンスであって、 新鮮な レスポンスでも、stale-while-revalidate responseでもないものをいう。
レスポンス responseの location URLは、nullまたは ASCII文字列 requestFragmentが与えられたとき、次の手順によって返される値である。それらはnull、failure、 またはURLを返す。
-
responseのstatusがリダイレクトステータスでないなら、 nullを返す。
-
locationを、 `
Location` とresponseのヘッダー リストが与えられたときに、ヘッダーリスト値を抽出する結果とする。 -
locationがヘッダー値であるなら、 responseの URLを用いて locationをパースする結果にlocationを設定する。
responseが
Responseコンストラクターを通じて構築された場合、 responseのURLはnullである。これは、locationが absolute-URL-with-fragment stringである場合にのみ、 正常にパースされることを意味する。 -
locationがURLであり、そのfragmentがnullであるなら、 locationのfragmentをrequestFragmentに設定する。
これにより、合成レスポンス(実のところすべてのレスポンス)が、 HTTPによって定義される リダイレクトの処理モデルに従うことが保証される。[HTTP]
-
locationを返す。
location URLアルゴリズムは、この標準および リダイレクトを手動で扱うHTMLのnavigateアルゴリズムにおける リダイレクト処理のためにのみ使用される。[HTML]
2.2.7. その他
潜在的なdestinationは、"fetch"または空文字列でないdestinationです。
潜在的なdestination potentialDestinationを変換するには、次の手順を実行します:
-
potentialDestinationが"
fetch"なら空文字列を返す。 -
Assert: potentialDestinationはdestinationであること。
-
potentialDestinationを返す。
2.3. 認証エントリ
認証エントリおよびプロキシ認証エントリは、ユーザー名・パスワード・レルムからなるタプルであり、HTTP認証およびHTTPプロキシ認証に使われ、1つ以上のリクエストに関連付けられます。
ユーザーエージェントは、認証エントリとHTTPクッキーや同様のトラッキング機能を一括してクリアできるようにすべきです。
詳細はHTTPで定義されています。[HTTP] [HTTP-CACHING]
2.4. Fetchグループ
各 環境設定オブジェクト には fetch グループ が関連付けられており、これが fetch グループ を保持する。
fetch グループ は フェッチに関する情報を保持する。
fetch グループ には 次のものが関連付けられている:
- fetchレコード
- リストであり、fetchレコードからなる。
- 遅延fetchレコード
- リストであり、遅延fetch レコードからなる。
- request
- リクエスト。
- controller
- fetchコントローラー またはnull。
遅延fetch レコードは、後の時点でfetchを呼び出すために必要な状態を維持するために用いられる 構造体である。たとえば、文書がアンロードされるとき、または 完全にアクティブでなくなるときである。これは次の項目を持つ:
- request
- リクエスト。
- notify invoked
- 引数を受け取らないアルゴリズム。
- invoke state(既定値 "
pending") - "
pending"、"sent"、または "aborted"。
fetch グループ fetchGroup が 終了されるとき:
-
各 fetch レコード record について、 fetchGroup の fetch レコード を走査し、 もし record の コントローラー が null でなく、 かつ record の リクエスト の 完了フラグ が未設定 かつ keepalive が false であれば、 終了 record の コントローラー を行う。
-
deferred fetch を処理 する fetchGroup に対して。
2.5. ドメインの解決
ネットワークパーティションキー keyと
オリジン originを与えて
オリジンを解決するには、次の手順を実行します:
-
originのhostのパブリックスフィックスが"
localhost"または"localhost."であれば、 «::1,127.0.0.1» を返す。 -
originを1つ以上のIPアドレスの 集合に変換する 実装依存の操作を行う。
他にも、IPアドレス以外の 接続情報を取得するために他の操作を行うかどうかも 実装依存です。例えば、 originのスキームが HTTP(S)スキームの場合、実装はHTTPS RRのためのDNSクエリを行うかもしれません。[SVCB]
-
failureを返す。
オリジンを解決するの結果はキャッシュしてもよい。キャッシュする場合はkeyをキャッシュキーの一部として用いるべきである。
2.6. コネクション
ユーザーエージェントは、関連付けられたコネクションプールを持ちます。 コネクションプールは、 0個以上の順序付き集合としてのコネクションです。各コネクションは、関連付けられたキー(ネットワークパーティションキー)、 オリジン(オリジン)、および認証情報 (boolean)で識別されます。
各コネクションは、関連付けられた タイミング情報( コネクションタイミング情報)を持ちます。
コネクションタイミング情報は、 コネクション取得処理に関するタイミング情報を保持するための 構造体です。以下の項目があります:
- ドメインルックアップ開始時刻(初期値0)
- ドメインルックアップ終了時刻(初期値0)
- コネクション開始時刻(初期値0)
- コネクション終了時刻(初期値0)
- セキュアコネクション開始時刻(初期値0)
- ドメインルックアップ終了時刻(初期値0)
DOMHighResTimeStamp。- ALPNネゴシエートプロトコル(初期値:空のバイト列)
- バイト列。
コネクションタイミング情報のclampおよびcoarsenを行うには、
コネクションタイミング情報 timingInfo、
DOMHighResTimeStamp
defaultStartTime、boolean crossOriginIsolatedCapabilityを与えて次の手順を実行する:
-
timingInfoのコネクション開始時刻が defaultStartTimeより小さければ、新しいコネクションタイミング情報を返す(全ての時刻がdefaultStartTime、ALPNネゴシエートプロトコルはtimingInfoの値)。
-
新しいコネクションタイミング情報を返す(各時刻はcoarsen timeの結果、ALPNネゴシエートプロトコルはtimingInfoの値)。
新規コネクション設定は、"no"、"yes"、"yes-and-dedicated"のいずれかです。
コネクションを取得するには、
ネットワークパーティションキー key、
URL url、
真偽値 credentials、オプションの
新規コネクション設定 new(デフォルトは"no")、
オプションの真偽値 requireUnreliable(デフォルトはfalse)、
そしてオプションの
WebTransport-ハッシュリスト
webTransportHashes(デフォルトは «
»)を与え、次の手順を行う:
-
もし new が"
no"ならば: -
proxies を、urlに対し実装依存の方法でプロキシを探索した結果とする。プロキシがない場合、proxies は « "
DIRECT" » とする。ここで非標準技術( WPADや PAC)が活用されることがある。 "
DIRECT" はこの url へプロキシを使用しないことを意味する。 -
timingInfo を新しい コネクションタイミング情報にする。
-
各 proxies の proxy について:
-
timingInfo の ドメインルックアップ開始時刻を 非安全な共有現在時刻で設定。
-
もし proxy が "
DIRECT" ならば オリジンの解決 を key, url の origin で実行した結果を hosts に設定する。 -
もし hosts が失敗ならば 次へ。
-
timingInfo の ドメインルックアップ終了時刻 を 非安全な共有現在時刻 で設定。
-
connection を、次を実行した結果とする:コネクション作成を key, url の origin, credentials, proxy、 実装依存な host(hostsより)、 timingInfo、requireUnreliable、webTransportHashes を用い、実装依存の回数だけ並列で実行し、1つ以上値が返るまで待ち、実装依存な方法で返ってきた値から1つを選んで返す。他の返り値がコネクションだった場合は閉じてもよい。
本質的にこれは、実装がproxy が "
DIRECT" の場合には オリジン解決の戻り値から IPアドレス を選択し、それらでレースしたり、IPv6優先、タイムアウト時再試行等も許容することを意味する。 -
もし connection が失敗ならば 次へ。
-
もし new が"
yes-and-dedicated"でなければ 追加で connection をユーザーエージェントのコネクションプールに追加する。 -
connection を返す。
-
-
失敗を返す。
意図的に曖昧にしてある。なぜならコネクション管理には実装依存の微妙な違いが多数あるためだ。記述があることで
<link rel=preconnect> の特徴や、
コネクションが credentials
をキーにすることが明確になり、
たとえば TLS セッション識別子が
credentials
false の
コネクションと、
true のコネクションで使い回されないことが明確になる。
コネクションを作成するには、 ネットワークパーティションキー key、 オリジン origin、 真偽値 credentials、文字列 proxy、 ホスト host、 コネクションタイミング情報 timingInfo、 真偽値 requireUnreliable、および WebTransport-ハッシュリスト webTransportHashes を与え、次の手順を行う:
-
timingInfo の コネクション開始時刻 を 非安全な共有現在時刻 で設定する。
-
connection を新しい コネクション とし、 keyはkey、 originはorigin、 credentialsはcredentials、 タイミング情報はtimingInfoとする。 コネクションタイミング情報記録を connection に用い、 connection でHTTPコネクションをhostに確立する。proxyやoriginを考慮しつつ、以下の注意点を踏まえる: [HTTP] [HTTP1] [TLS]
-
もし requireUnreliable が true ならば、非信頼性トランスポート(例えばHTTP/3)が可能なコネクションを確立すること。[HTTP3]
-
非信頼性トランスポートが可能なコネクションを確立する際は、WebTransport用に必要なオプションを有効化する。 HTTP/3の場合、初期の
SETTINGSフレームでSETTINGS_ENABLE_WEBTRANSPORT=1、H3_DATAGRAM=1を含めること。 [WEBTRANSPORT-HTTP3] [HTTP3-DATAGRAM] -
もし credentials が false なら、TLSクライアント証明書を送信しない。
-
もし webTransportHashes が空でない場合は、デフォルトの証明書検証アルゴリズムの代わりに サーバ証明書が 独自証明書要件を満たし、 かつ 証明書ハッシュの検証で webTransportHashesが真であるときのみサーバ証明書を有効とみなす。 いずれかの条件を満たさなければ失敗を返す。
-
接続確立が成功しなかった場合(UDP/TCP/TLSエラー等)は、失敗を返す。
-
-
timingInfo の ALPN交渉済みプロトコル を connection の ALPN Protocol ID で設定。ただし以下の注意点がある: [RFC7301]
-
プロキシ経由時にトンネル接続が成立した場合はトンネル先のプロトコルのALPN Protocol ID、 それ以外は最初のプロキシへのALPN Protocol ID を使うこと。
-
ユーザーエージェントが実験的または未登録プロトコルを使う場合は、使用したALPN Protocol IDがあればそれを使う。 ALPN を使わなかった場合は実装で説明的な文字列を使ってもよい。
timingInfo の ALPN交渉済みプロトコル は 実際の交渉方法に関わらず実際に使用するネットワークプロトコルを識別するためのものであり、 ALPNによるネゴシエーションがなくても利用中のプロトコルを示すALPN Protocol IDである。
IANAは ALPN Protocol IDのリストを管理している。
-
-
connection を返す。
コネクションタイミング情報記録は、 コネクション connectionを受け取り、 timingInfoをconnectionの タイミング情報として次を満たすこと:
-
timingInfoのコネクション終了時刻は、サーバやプロキシへのコネクション確立直後に unsafe shared current timeとする。詳細:
-
返される時刻には、トランスポートコネクション確立にかかる時間やSOCKS認証等の時間も含めること。TLSハンドシェイクのリソース要求可能になるまでの時間も含めること。
-
TLS False Start利用時は、サーバのFinishedメッセージ受信までの時間は含めないこと。[RFC7918]
-
早期データでリクエスト送信時は、サーバのServerHello受信までの時間は含めないこと。[RFC8470]
-
リクエスト送信時にハンドシェイク完了を待つ場合は、早期データ利用の他リクエストが同一コネクションであってもTLSハンドシェイク全体を含めること。
たとえば、ユーザーエージェントがTLS 1.3でHTTP/2コネクションを確立し
GETとPOSTを送信した場合、ClientHello送信時刻をt1、GETはearly dataで送信、POSTは安全でないため([HTTP] 9.2.1)、t2でハンドシェイク完了まで待つと、同一コネクションでもGETはt1、POSTはt2をコネクション終了時刻として報告します。 -
-
セキュアなトランスポートを使う場合、timingInfoのセキュアコネクション開始時刻は、 connectionをセキュア化するハンドシェイク直前の unsafe shared current timeとする。[TLS]
-
connectionがHTTP/3コネクションの場合、timingInfoのコネクション開始時刻とセキュアコネクション開始時刻は等しいこと(HTTP/3ではコネクション確立時にセキュアハンドシェイクも同時に行う)。[HTTP3]
コネクションタイミング情報のclampおよびcoarsenアルゴリズムは、再利用コネクションの詳細やタイム値の丸めを保証します。
2.7. ネットワークパーティションキー
ネットワークパーティションキーは、サイトと、nullまたは実装依存の値からなるタプルです。
environment environmentを与え、ネットワークパーティションキーを決定するには、次の手順を実行します:
-
topLevelOriginをenvironmentの トップレベルオリジンとする。
-
topLevelOriginがnullなら、topLevelOriginをenvironmentのトップレベル生成URLのオリジンとする。
-
topLevelSiteをtopLevelOriginを与えてサイト取得の結果とする。
-
secondKeyをnullまたは実装依存の値とする。
second keyは意図的に曖昧にされています。詳細は今後詰められます。issue #1035参照。
-
(topLevelSite, secondKey)を返す。
ネットワークパーティションキーを決定するには、 リクエスト request を与え:
-
もし request の 予約クライアント が null でなければ、 request の 予約クライアント を与えて ネットワークパーティションキーを決定する の結果を返す。
-
もし request の クライアント が null でなければ、 request の クライアント を与えて ネットワークパーティションキーを決定する の結果を返す。
-
null を返す。
2.8. HTTPキャッシュパーティション
HTTPキャッシュパーティションを決定するには、リクエスト request を与え:
-
key を ネットワークパーティションキーを決定する (request を与える) の結果とする。
-
もし key が null ならば null を返す。
-
key に関連付けられたユニークなHTTPキャッシュを返す。[HTTP-CACHING]
2.9. ポートブロッキング
新しいプロトコルはALPNを使い、 TLSハンドシェイク中にプロトコルをネゴシエートすることで ポート遮断の必要性を回避できる。この場合、プロトコルは HTTPリクエストを通じて偽装することができない。 [RFC7301]
あるリクエスト request について 悪いポートのためブロックされるべきかどうか判定するには:
-
url を request の 現在のURL とする。
-
もし url の スキーム が HTTP(S)スキーム であり、 url の ポート が 悪いポート であれば、blocked を返す。
-
allowed を返す。
ポートが 次の表の最初の列に記載されている場合、悪いポートです。
| ポート | 主なサービス |
|---|---|
| 0 | — |
| 1 | tcpmux |
| 7 | echo |
| 9 | discard |
| 11 | systat |
| 13 | daytime |
| 15 | netstat |
| 17 | qotd |
| 19 | chargen |
| 20 | ftp-data |
| 21 | ftp |
| 22 | ssh |
| 23 | telnet |
| 25 | smtp |
| 37 | time |
| 42 | name |
| 43 | nicname |
| 53 | domain |
| 69 | tftp |
| 77 | — |
| 79 | finger |
| 87 | — |
| 95 | supdup |
| 101 | hostname |
| 102 | iso-tsap |
| 103 | gppitnp |
| 104 | acr-nema |
| 109 | pop2 |
| 110 | pop3 |
| 111 | sunrpc |
| 113 | auth |
| 115 | sftp |
| 117 | uucp-path |
| 119 | nntp |
| 123 | ntp |
| 135 | epmap |
| 137 | netbios-ns |
| 139 | netbios-ssn |
| 143 | imap |
| 161 | snmp |
| 179 | bgp |
| 389 | ldap |
| 427 | svrloc |
| 465 | submissions |
| 512 | exec |
| 513 | login |
| 514 | shell |
| 515 | printer |
| 526 | tempo |
| 530 | courier |
| 531 | chat |
| 532 | netnews |
| 540 | uucp |
| 548 | afp |
| 554 | rtsp |
| 556 | remotefs |
| 563 | nntps |
| 587 | submission |
| 601 | syslog-conn |
| 636 | ldaps |
| 989 | ftps-data |
| 990 | ftps |
| 993 | imaps |
| 995 | pop3s |
| 1719 | h323gatestat |
| 1720 | h323hostcall |
| 1723 | pptp |
| 2049 | nfs |
| 3659 | apple-sasl |
| 4045 | npp |
| 4190 | sieve |
| 5060 | sip |
| 5061 | sips |
| 6000 | x11 |
| 6566 | sane-port |
| 6665 | ircu |
| 6666 | ircu |
| 6667 | ircu |
| 6668 | ircu |
| 6669 | ircu |
| 6679 | osaut |
| 6697 | ircs-u |
| 10080 | amanda |
3. HTTP拡張
3.1. Cookie
`Cookie`リクエストヘッダーおよび`Set-Cookie`レスポンスヘッダーは主にそれぞれの仕様で定義されています。ここでは、それらを便利に利用できるよう補助的なインフラを定義します。[COOKIES]。
3.1.1. `Cookie` ヘッダー
リクエストの `Cookie` ヘッダーを付加する
には、
リクエスト
request を与え:
-
ユーザーエージェントが request に対して Cookie を無効化している場合、何もせず戻る。
-
sameSite を same-site モード判定 (request を与える)の結果とする。
-
isSecure を、 request の 現在のURL の スキーム が "
https" なら true、 そうでなければ false とする。 -
httpOnlyAllowed を true とする。
これは fetch から呼ばれるため true である。 例として
document.cookieの getter から呼ぶ場合などとは対照的である。 -
cookies を cookie取得を isSecure, request の 現在のURL の ホスト, request の 現在のURL の パス, httpOnlyAllowed, sameSite を与えて実行した結果とする。
クッキーストアはソート済みのクッキーリストを返す
-
もし cookies が 空 なら、何もせず戻る。
-
value を クッキー直列化に cookies を与えて実行した結果とする。
3.1.2. `Set-Cookie` ヘッダー
レスポンスの `Set-Cookie` ヘッダーを解析して保存する
には、
リクエスト
request および
レスポンス
response を与え:
-
ユーザーエージェントが request に対して Cookie を無効化している場合、何もせず戻る。
-
allowNonHostOnlyCookieForPublicSuffix を false とする。
-
isSecure を、 request の 現在のURL の スキーム が "
https" なら true、 そうでなければ false とする。 -
httpOnlyAllowed を true とする。
これは fetch から呼ばれているため true となる。 例えば
document.cookieの getter とは異なる。 -
sameSiteStrictOrLaxAllowed を、 same-site モード判定 (request を与える)の結果が "
strict-or-less" なら true、 そうでなければ false とする。 -
各 response の ヘッダーリスト の header について:
-
クッキーの解析と保存 を header の 値、 isSecure、 request の 現在のURL の ホスト、 request の 現在のURL の パス、 httpOnlyAllowed、 allowNonHostOnlyCookieForPublicSuffix、 sameSiteStrictOrLaxAllowed を渡して実行する。
-
クッキーのガベージコレクト を request の 現在のURL の ホスト で実行する。
他の場所でも言及されている通り、`
Set-Cookie` ヘッダーはまとめて扱えず、 それぞれ個別に処理される。他のどのヘッダーでもこれは許されない。
3.1.3. Cookieインフラストラクチャ
same-site モードを判定する には、リクエスト request を与え:
-
もし request の トップレベルナビゲーションのイニシエータorigin が null ではなく、かつ request の URL の origin と 同一サイトでなければ "
unset-or-less" を返す。 -
もし request の メソッド が "
GET" で、かつ request の 送信先 が "document" であれば "lax-or-less" を返す。 -
もし request の クライアント の cross-site な祖先を持つかどうか が true ならば、"
unset-or-less" を返す。 -
もし request の リダイレクト汚染度 が "
cross-site" なら、"unset-or-less" を返す。 -
"
strict-or-less" を返す。
「直列化されたCookie既定パス」を得る には、URL url を与え:
-
cloneURL を url のクローンとする。
-
cloneURL の パス を、 Cookie既定パス(cloneURL の パスを用いて) に設定する。
-
cloneURL の URLパス直列化 を返す。
3.2. `Origin` ヘッダー
`Origin`
リクエストヘッダーは
fetchがどこから発生したかを示す。
`Origin` ヘッダーは、
パスを明らかにしない
`Referer` [sic] ヘッダーの一種である。これは、
HTTP fetchのうち、
その
リクエストの
レスポンス汚染が "cors" であるものすべて、および
リクエストのmethodが
`GET` でも
`HEAD` でもないものに用いられる。互換性上の制約により、すべての
fetchに含まれるわけではない。
その可能な値は、リクエストが与えられたときの、 リクエストオリジンをバイト直列化するすべての戻り値である。これらは、 次のABNFで表される:
serialized-ipv4 = dec-octet "." dec-octet "." dec-octet "." dec-octet
dec-octet = DIGIT ; 0-9
/ %x31-39 DIGIT ; 10-99
/ "1" 2 DIGIT ; 100-199
/ "2" %x30-34 DIGIT ; 200-249
/ "25" %x30-35 ; 250-255
serialized-ipv6 = 7 ( h16 ":" ) h16
/ "::" 5 ( h16 ":" ) h16
/ [ h16 ] "::" 4 ( h16 ":" ) h16
/ [ *1 ( h16 ":" ) h16 ] "::" 3 ( h16 ":" ) h16
/ [ *2 ( h16 ":" ) h16 ] "::" 2 ( h16 ":" ) h16
/ [ *3 ( h16 ":" ) h16 ] "::" h16 ":" h16
/ [ *4 ( h16 ":" ) h16 ] "::" h16
/ [ *5 ( h16 ":" ) h16 ] "::"
h16 = "0" / ( non-zero-hex 0*3 hex )
non-zero-hex = %x31-39 / %x61-66 ; '1'-'9' or lowercase 'a'-'f'
hex = %x30-39 / %x61-66 ; '0'-'9' or lowercase 'a'-'f
lower-alpha = %x61-7A
lower-alphanum = lower-alpha / DIGIT
domain-label = lower-alphanum / ( lower-alphanum * ( lower-alphanum / "-" ) lower-alphanum )
serialized-domain = * ( domain-label "." ) domain-label
serialized-scheme = lower-alpha * ( lower-alphanum / "+" / "-" / "." )
serialized-host = serialized-ipv4 / "[" serialized-ipv6 "]" / serialized-domain
serialized-port = 1*5 DIGIT
serialized-origin = serialized-scheme "://" serialized-host [ ":" serialized-port ]
origin-or-null = serialized-origin / %s"null" ; case-sensitive
Origin = origin-or-null
これは The Web Origin Concept における定義に取って代わる。[ORIGIN]
ここで定義されるオリジン直列化は、[RFC3986] の 文法よりも、2つの重要な点でより制約されている。第一に、スキームおよびドメインの直列化はすべて小文字 ASCII であり、 パーセントエンコーディングを含まない。第二に、URL § 3.6 Host serializing および [RFC5952] の推奨に従い、 IPv6 アドレスは次のように制限される:
- 最下位桁は IPv4 アドレスとして表してはならない。
- 先頭のゼロは禁止される。
- すべての 16 進文字は小文字である。
- "::" は単一の "0" ブロックだけを省略できないため、"::" が存在する場合は最大 6 ブロックまで許可する。
リクエスト
`Origin` ヘッダーを追加するには、
リクエスト
request を与え、次の手順を実行する:
-
serializedOrigin を、 request originのバイト直列化 (requestを用いる)の結果とする。
-
requestの response tainting が "
cors" であるか、 mode が "websocket" または "webtransport" の場合は、 `Origin`, serializedOrigin をrequestの header listに 追加する。 -
それ以外で request の method が `
GET` でも `HEAD` でもない場合は:-
request の mode が "
cors" でないなら、 request の referrer policy で分岐する:- "
no-referrer" -
serializedOrigin を `
null` にする。 - "
no-referrer-when-downgrade"- "
strict-origin"- "
strict-origin-when-cross-origin" - "
-
requestの origin が tuple origin であり、 そのschemeが"
https"、かつ requestの current URLの schemeが "https" でない場合、 serializedOrigin を `null` にする。 - "
same-origin" -
requestの origin が requestの current URL の origin と 同一生成元でなければ serializedOriginを`
null`にする。 - その他
- 何もしない
- "
-
追加 (`
Origin`, serializedOrigin) を request の header list に追加する。
-
リクエストのreferrer policyは、fetcherが自らのオリジンをサーバーと共有することを明示的に選択していない すべてのfetchで考慮される。たとえば、CORSプロトコルを用いる場合などである。
3.3. CORSプロトコル
レスポンスをオリジン間で共有可能とし、
HTML の
form
要素で可能なものよりも柔軟な
fetch
を許可するために、CORSプロトコル
が存在する。
これはHTTP上にレイヤー化されたものであり、レスポンスが他の
オリジン
と共有できることを宣言できるようにする。
これはファイアウォール(イントラネット)越しにレスポンスのデータ漏洩を防ぐため、 オプトイン機構である必要がある。 また、リクエストに 認証情報 を含む場合、機微なデータ漏洩を防ぐためにも オプトインが必要となる。
この節ではサーバ開発者向けに CORSプロトコル を解説する。 ユーザーエージェント向けの要件は fetch アルゴリズムの一部だが 新しいHTTPヘッダー構文を除く。
3.3.1. 一般
CORSプロトコルは、 レスポンスがオリジン間で共有可能かどうかを示す ヘッダー群から成る。
リクエストのうち、HTMLの
form
要素で可能なものよりも複雑なものについては、CORS-preflightリクエストが実行され、リクエストの
現在のURLがCORSプロトコルをサポートしていることを確認する。
3.3.2. HTTPリクエスト
CORSリクエストとは、`Origin`ヘッダーを含むHTTPリクエストです。
ただし、CORSプロトコルに参加しているかどうかは確実には判別できません。
なぜなら、`Origin`ヘッダーは
リクエストのメソッドが`GET`または`HEAD`以外の時も常に含まれるためです。
CORSプリフライトリクエストは、CORSリクエストのうち、
CORSプロトコルが理解されているか確認するためのものです。
これはOPTIONSをメソッドとして使い、次のヘッダーを含みます:
CORSプリフライトリクエストは、次のヘッダーも含むことがあります:
3.3.3. HTTPレスポンス
CORSリクエストへのHTTPレスポンスには、以下のヘッダーを含めることができます:
- `
Access-Control-Allow-Origin` -
レスポンスを共有できるかどうかを示す。これは、レスポンス内で `
Origin` リクエストヘッダーのリテラルな 値 (これは `null` になり得る)または `*` を返すことによって示される。 - `
Access-Control-Allow-Credentials` -
リクエストの credentials modeが "
include" である場合に、レスポンスを共有できるかどうかを示す。CORS-preflightリクエストでは、リクエストの credentials modeは常に "
same-origin" である。すなわち、 資格情報を除外するが、後続の任意のCORSリクエストではそうでない可能性がある。したがって、サポートは CORS-preflightリクエストへのHTTPレスポンスの一部としても 示される必要がある。
CORS-preflightリクエストへのHTTPレスポンスは、次の ヘッダーを含むことができる:
- `
Access-Control-Allow-Methods` -
CORS プロトコルの目的で、どのメソッドがレスポンスの URLによって サポートされるかを示す。
- `
Access-Control-Allow-Headers` -
CORS プロトコルの目的で、どのヘッダーがレスポンスの URLによって サポートされるかを示す。
- `
Access-Control-Max-Age` -
`
Access-Control-Allow-Methods` および `Access-Control-Allow-Headers` ヘッダーによって提供される情報を キャッシュできる秒数(既定では5)を示す。
CORSプリフライトリクエストでない CORSリクエストへのHTTPレスポンスは、次のヘッダーも含めることができます:
サーバー開発者が共有の意図を持つCORSリクエストへの成功したHTTPレスポンスは、 上記のヘッダーとリクエストと一致した値を含める限り、任意のステータスを利用できます。
CORSプリフライトリクエストへの成功したHTTPレスポンスも同様ですが、okステータス(例: 200や204)に制限されます。
他の種類のHTTPレスポンスは成功とは見なされず、共有されないかCORSプリフライトリクエストが失敗します。サーバーが明示的に示したい場合は、403ステータスと該当するヘッダーの省略を組み合わせて使うこともできます。
必要に応じて「failure」も共有可能ですが、それを行うと HTTP レスポンスは成功扱いになります。 そのため、CORS リクエスト で CORS プリフライトリクエスト でない場合の ステータス は、 403 を含めて任意の値にすることができます。
最終的に、サーバー開発者はHTTPレスポンスの扱いにおいて多くの自由があります。これらの戦略はCORSプリフライトリクエストと、その後のCORSリクエストで異なる場合があります:
-
静的レスポンスを返すことができます。これはキャッシュ中継サーバと連携する場合に有用です。静的レスポンスは状況により成功にも失敗にもなり得ます。これは問題ありません。
-
動的レスポンスを返し、CORSリクエストに合わせて調整することもできます。これはレスポンス本文を特定のオリジンに合わせたり、認証情報付きで特定オリジン群に成功させたい場合に有用です。
3.3.4. HTTP新ヘッダー構文
CORS プロトコルで使用されるヘッダーの値のABNF:
Access-Control-Request-Method = method
Access-Control-Request-Headers = 1 #field-name
wildcard = "*"
Access-Control-Allow-Origin = origin-or-null / wildcard
Access-Control-Allow-Credentials = %s"true" ; case-sensitive
Access-Control-Expose-Headers = #field-name
Access-Control-Max-Age = delta-seconds
Access-Control-Allow-Methods = #method
Access-Control-Allow-Headers = #field-name
`Access-Control-Expose-Headers`、
`Access-Control-Allow-Methods`、および `Access-Control-Allow-Headers`
レスポンスヘッダーについては、値
`*` は、資格情報を伴わない
リクエストに対して
ワイルドカードとして扱われる。そのようなリクエストでは、
`*` であるヘッダー名
またはメソッドのみを
照合する方法はない。
3.3.5. CORSプロトコルと認証情報
リクエストの
資格情報モードが "include" である場合、
それはfetchに
資格情報を含めること以外にも、
CORSプロトコルの動作に影響を及ぼす。
以前は、XMLHttpRequest
を用いて、リクエストの
資格情報モードを "include" に設定できた:
var client = new XMLHttpRequest()
client. open( "GET" , "./" )
client. withCredentials = true
/* … */
現在では、fetch("./", { credentials:"include" }).then(/* … */)
で十分である。
リクエストの 資格情報モードは、必ずしもサーバーで観測可能とは限らない。 リクエストに対する 資格情報が存在する場合にのみ、 その資格情報が含まれることによって 観測できる。なお、その場合であっても、CORS-preflightリクエストが 資格情報を含むことはない。
したがってサーバー開発者は、資格情報で 「汚染された」レスポンスを共有できるかどうかを決定する必要がある。また、 CORS-preflight リクエストを必要とする リクエストが 資格情報を含められるかどうかも 決定する必要がある。一般的に言えば、レスポンスを共有することと 資格情報を伴うリクエストを許可することの 両方はかなり安全でなく、 confused deputy問題を避けるために 細心の注意を払わなければならない。
資格情報を伴うレスポンスを共有するには、
`Access-Control-Allow-Origin` および
`Access-Control-Allow-Credentials` ヘッダーが
重要である。次の表は、https://rabbit.invalid/ へのリクエストについて、さまざまな有効および無効な組み合わせを
説明するためのものである:
| リクエストの資格情報モード | `Access-Control-Allow-Origin`
| `Access-Control-Allow-Credentials`
| 共有されるか? | 注記 |
|---|---|---|---|---|
"omit"
| `*`
| 省略 | ✅ | — |
"omit"
| `*`
| `true`
| ✅ | 資格情報モードが "include" でない場合、
`Access-Control-Allow-Credentials`
は無視される。
|
"omit"
| `https://rabbit.invalid/`
| 省略 | ❌ | 直列化されたオリジンには末尾のスラッシュがない。 |
"omit"
| `https://rabbit.invalid`
| 省略 | ✅ | — |
"include"
| `*`
| `true`
| ❌ | 資格情報モードが "include" である場合、
`Access-Control-Allow-Origin`
は
`*` にできない。
|
"include"
| `https://rabbit.invalid`
| `true`
| ✅ | — |
"include"
| `https://rabbit.invalid`
| `True`
| ❌ | `true` は(バイト単位で)大文字小文字を区別する。
|
同様に、`Access-Control-Expose-Headers`、
`Access-Control-Allow-Methods`、および
`Access-Control-Allow-Headers` レスポンス
ヘッダーは、リクエストの資格情報
モードが
"include" でない場合にのみ、
`*` を値として使用できる。
3.3.6. 例
https://foo.invalid/のスクリプトが、https://bar.invalid/からデータを取得したいとします。(認証情報やレスポンスヘッダーアクセスは重要ではありません。)
var url = "https://bar.invalid/api?key=730d67a37d7f3d802e96396d00280768773813fbe726d116944d814422fc1a45&data=about:unicorn" ;
fetch( url). then( success, failure)
これはCORSプロトコルが使われますが、foo.invalid側の開発者からは完全に透過的です。CORSプロトコルの一部として、ユーザーエージェントはリクエストに`Origin`ヘッダーを含めます:
Origin: https://foo.invalid
bar.invalidからレスポンスを受信した際、ユーザーエージェントは`Access-Control-Allow-Origin`レスポンスヘッダーを検証します。その値が
`https://foo.invalid` または `*`
であれば、ユーザーエージェントはsuccessコールバックを呼びます。それ以外の値、または省略されている場合は、failureコールバックが呼ばれます。
foo.invalidの開発者が再び登場し、今度はbar.invalidからデータ取得時にレスポンスヘッダーも参照したいと考えています。
fetch( url). then( response => {
var hsts = response. headers. get( "strict-transport-security" ),
csp = response. headers. get( "content-security-policy" )
log( hsts, csp)
})
bar.invalidは前述の例の通り、正しい`Access-Control-Allow-Origin`レスポンスヘッダーを返しています。
hstsやcspの値は、`Access-Control-Expose-Headers`レスポンスヘッダーに依存します。たとえば、レスポンスが次のヘッダーを含んでいた場合
Content-Security-Policy: default-src 'self'
Strict-Transport-Security: max-age=31536000; includeSubdomains; preload
Access-Control-Expose-Headers: Content-Security-Policy
このとき、hstsはnull、cspは"default-src 'self'"となります(両方のヘッダーが含まれていても)。これは、bar.invalidが各ヘッダー名を`Access-Control-Expose-Headers`レスポンスヘッダーで明示的に共有する必要があるためです。
別の方法として、bar.invalidが全てのレスポンスヘッダーを共有したい場合(認証情報を含まないリクエストに対して)、`*`を`Access-Control-Expose-Headers`レスポンスヘッダーの値として使うことができます。リクエストに認証情報が含まれる場合は、ヘッダー名を明示的に列挙する必要があり、`*`は使えません。
foo.invalidの開発者が再び登場し、今度は認証情報を含めてbar.invalidからデータを取得します。今回はCORSプロトコルが開発者から見て透過的ではありません。なぜなら、認証情報には明示的なオプトインが必要だからです:
fetch( url, { credentials: "include" }). then( success, failure)
このときbar.invalidが返す`Set-Cookie`レスポンスヘッダーも完全に機能します(そうでなければ無視されます)。
ユーザーエージェントは、リクエストに該当する認証情報を必ず含めます。またレスポンスにはより厳しい要件が課されます。bar.invalidは`Access-Control-Allow-Origin`ヘッダーの値として`https://foo.invalid`を明示する必要があり(認証情報が関与する場合`*`は不可)、`Access-Control-Allow-Credentials`ヘッダーも必要です:
Access-Control-Allow-Origin: https://foo.invalid
Access-Control-Allow-Credentials: true
これら2つのヘッダーがこの値で含まれていなければ、failureコールバックが呼ばれます。ただし、`Set-Cookie`レスポンスヘッダーは尊重されます。
3.3.7. CORSプロトコルの例外
仕様では、CORS safelist
以外の`Content-Type`ヘッダー値に対して限定的な例外が認められています。これらの例外は、ウェブコンテンツによって発生可能だが、ヘッダーやボディをウェブコンテンツからは最小限しか制御できないリクエストに対して設けられています。そのため、サーバー側は、クロスオリジンのウェブコンテンツによって以下の非プリフライトな非safelistな`Content-Type`ヘッダー値でリクエストされうることを想定する必要があります:
- `
application/csp-report` [CSP] - `
application/expect-ct-report+json` [RFC9163] - `
application/xss-auditor-report` - `
application/ocsp-request` [RFC6960]
仕様は新たな例外の導入を避けるべきであり、慎重なセキュリティ検討の上でのみ追加するべきです。新しい例外の提案は issueの提出で行えます。
3.4. `Content-Length` ヘッダー
`Content-Length`ヘッダーは主にHTTPで定義されています。その処理モデルはHTTPで定義されたものがウェブコンテンツと互換性がないため、ここで定義されています。[HTTP]
長さを抽出するには、 ヘッダーリスト headersを与えて次の手順を実行する:
-
valuesを、headersから`
Content-Length`を取得・デコード・分割した結果とする。 -
valuesがnullならnullを返す。
-
candidateValueをnullとする。
-
各 values の value について:
-
candidateValueがnullなら、candidateValueにvalueを設定する。
-
そうでなければ、valueがcandidateValueと異なれば、failureを返す。
-
-
candidateValueを10進数として解釈して返す。
3.5. `Content-Type` ヘッダー
`Content-Type`ヘッダーは主にHTTPで定義されています。その処理モデルはHTTPで定義されたものがウェブコンテンツと互換性がないため、ここで定義されています。[HTTP]
MIMEタイプを抽出するには、 ヘッダーリスト headersを与えて次の手順を実行する。これらはfailureまたはMIMEタイプを返す。
-
charsetをnullとする。
-
essenceをnullとする。
-
mimeTypeをnullとする。
-
valuesを、headersから`
Content-Type`を取得・デコード・分割した結果とする。 -
valuesがnullならfailureを返す。
-
各 values の value について:
-
temporaryMimeTypeをvalueをMIMEタイプとして構文解析した結果とする。
-
mimeTypeにtemporaryMimeTypeを設定する。
-
mimeTypeのエッセンスがessenceと異なる場合:
-
charsetをnullに設定する。
-
mimeTypeのparameters["
charset"]が存在すれば、charsetにその値を設定する。 -
essenceにmimeTypeのエッセンスを設定する。
-
-
そうでなければ、mimeTypeのparameters["
charset"]が存在せず、かつcharsetがnullでなければ、mimeTypeのparameters["charset"]にcharsetを設定する。
-
-
mimeTypeがnullならfailureを返す。
-
mimeTypeを返す。
MIMEタイプを抽出するがfailureを返した場合や、MIMEタイプのエッセンスが与えられたフォーマットに不適切な場合は、致命的エラーとして扱うこと。既存のウェブプラットフォーム機能はこのパターンに従っていないことが多く、長年にわたりセキュリティ脆弱性の主な原因となっています。一方で、MIMEタイプのパラメータは通常無視しても安全です。
MIMEタイプを抽出するの実際の動作例:
| Headers(ネットワーク上の値) | 出力(直列化) |
|---|---|
| text/html
|
| text/html;x=y;charset=gbk
|
| |
| text/html;x=y
|
| text/html
|
| |
|
レガシーエンコーディング抽出は、failureまたはMIMEタイプ mimeTypeとエンコーディング fallbackEncodingを与えて次の手順を実行する:
-
mimeTypeがfailureならfallbackEncodingを返す。
-
mimeType["
charset"]が存在しなければ、fallbackEncodingを返す。 -
tentativeEncodingをmimeType["
charset"]からエンコーディング取得した結果とする。 -
tentativeEncodingがfailureならfallbackEncodingを返す。
-
tentativeEncodingを返す。
このアルゴリズムはmimeTypeがfailureでも受け付けるため、MIMEタイプを抽出すると容易に組み合わせられます。
これが"legacy"とされるのは、現代のフォーマットはUTF-8のみ使うことが推奨されているためです。
3.6.
`X-Content-Type-Options` ヘッダー
The
`X-Content-Type-Options`
レスポンスヘッダーは、
レスポンスの
`Content-Type` ヘッダーを、リクエストの
宛先に照らして
チェックすることを要求するために使用できる。
ヘッダーリスト list を与え、 nosniffを判定する には次の手順を行う:
-
values を 取得・デコード・分割 (`
X-Content-Type-Options`, list) の結果とする。 -
values が null なら false を返す。
-
values[0] が ASCII大文字小文字無視 で "
nosniff" と一致するなら true を返す。 -
false を返す。
Web 開発者および適合性チェッカーは、`X-Content-Type-Options` について、次の値
ABNFを使用しなければならない:
X-Content-Type-Options = "nosniff" ; case-insensitive
3.6.1. response を request で nosniff のためブロックするべきか?
次の手順を行う:
-
nosniffを判定する (response の ヘッダーリスト) が false なら allowed を返す。
-
mimeType を MIME Type抽出 (response の ヘッダーリスト) の結果とする。
-
destination を request の 送信先 とする。
-
destination が スクリプト系 で、 mimeType が失敗 または JavaScript MIME type でなければ blocked を返す。
-
destination が "
style" で、 mimeType が失敗 または その エッセンス が "text/css" でなければ blocked を返す。 -
allowed を返す。
リクエストの
送信先のうち
スクリプト系 または "style" のときのみ考慮される。
悪用問題が想定されるのはこれらのみ。また "image" は実環境の内容と相性が悪かったため対象外。
3.7.
`Cross-Origin-Resource-Policy` ヘッダー
`Cross-Origin-Resource-Policy`
レスポンスヘッダーは、
リクエストの
現在のURLのオリジンを、
リクエストの
オリジンに照らして
チェックすることを要求するために使用できる。これは、
リクエストのmodeが
"no-cors" である場合である。
Cross-Origin-Resource-Policy = %s"same-origin" / %s"same-site" / %s"cross-origin" ; case-sensitive
オリジン origin、環境設定オブジェクト settingsObject、 文字列 destination、レスポンス response、および省略可能な真偽値 forNavigationが与えられたとき、 cross-origin resource policyチェックを実行するには、次の手順を実行する:
-
forNavigationが与えられていない場合は、falseに設定する。
-
origin、 "
unsafe-none"、response、および forNavigationを用いたcross-origin resource policy 内部チェックがblockedを返すなら、blockedを返す。この手順が必要なのは、以下でCross-Origin Embedder Policyに 関係しない違反を報告したくないためである。
-
origin、 embedderPolicyのreport only value、response、 およびforNavigationを用いたcross-origin resource policy 内部チェックがblockedを返すなら、 response、settingsObject、destination、およびtrueを用いて cross-origin embedder policy CORP違反レポートをキューに入れる。
-
origin、 embedderPolicyのvalue、response、および forNavigationを用いたcross-origin resource policy 内部チェックがallowedを返すなら、allowedを返す。
-
response、 settingsObject、destination、およびfalseを用いて cross-origin embedder policy CORP違反レポートをキューに入れる。
-
blockedを返す。
HTMLのnavigateアルゴリズムだけが、forNavigationを trueに設定してこのチェックを使用し、それは常に入れ子のナビゲーションに対してである。そうでない場合、 responseは、opaque filtered responseの 内部レスポンスであるか、または レスポンスであり、それは opaque filtered responseの 内部レスポンスになる。[HTML]
オリジン origin、embedder policy value embedderPolicyValue、レスポンス response、および真偽値 forNavigationが与えられたとき、 cross-origin resource policy内部チェックを 実行するには、次の手順を実行する:
-
forNavigationがtrueで、embedderPolicyValueが "
unsafe-none" であるなら、allowedを返す。 -
policyを、responseの ヘッダーリストから `
Cross-Origin-Resource-Policy`を 取得する結果とする。これは、 `
Cross-Origin-Resource-Policy: same-site, same-origin` が以下で allowedになることを意味する。embedderPolicyValueが "unsafe-none" である限り、それは何にも一致しないためである。 2つ以上の `Cross-Origin-Resource-Policy` ヘッダーも同じ効果を持つ。 -
policyが `
same-origin`、`same-site`、または `cross-origin` のいずれでもないなら、policyをnullに設定する。 -
policyがnullなら、embedderPolicyValueに応じて分岐する:
- "
unsafe-none" -
何もしない。
- "
credentialless" -
次の場合は、policyを `
same-origin` に設定する:- responseのrequest-includes-credentials がtrueである、または
- forNavigationがtrueである。
- "
require-corp" -
policyを `
same-origin` に設定する。
- "
-
policyに応じて分岐する:
- null
- `
cross-origin` - `
-
allowedを返す。
- `
same-origin` -
originが、responseのURLの オリジンとsame originであるなら、allowedを返す。
そうでなければ、blockedを返す。
- `
same-site` -
以下のすべてがtrueである場合:
-
originが、 responseの URLのオリジンとスキームを除いてsame siteである
-
originのschemeが "
https" である、または responseのURLのschemeが "https" でない
その場合はallowedを返す。
そうでなければ、blockedを返す。
`
Cross-Origin-Resource-Policy: same-site` は、 セキュアな転送経由で配信されたレスポンスが、非セキュアな要求元オリジンに一致するとはみなさない。 それらのホストがそれ以外ではsame siteである場合でも同様である。セキュアに転送されたレスポンスは、 セキュアに転送された開始元にのみ一致する。 -
- null
レスポンス response、環境設定オブジェクト settingsObject、文字列destination、および真偽値reportOnlyが与えられたとき、 cross-origin embedder policy CORP違反レポートをキューに入れるには、次の手順を実行する:
-
endpointを、reportOnlyがtrueならsettingsObjectの ポリシーコンテナーの 埋め込みポリシーの report only reporting endpointとし、そうでなければ settingsObjectのポリシーコンテナーの 埋め込みポリシーの reporting endpointとする。
-
serializedURLを、 responseを用いて 報告用にレスポンスURLを 直列化する結果とする。
-
dispositionを、reportOnlyがtrueなら "
reporting" とし、 そうでなければ "enforce" とする。 -
bodyを、次のプロパティを含む新しいオブジェクトとする:
key value " type"" corp"" blockedURL"serializedURL " destination"destination " disposition"disposition -
settingsObjectの グローバルオブジェクトについて、 "
coep" レポート種別、endpoint、および bodyが与えられたものとして、 レポートを生成してキューに入れる。[REPORTING]
3.8. `Sec-Purpose` ヘッダー
`Sec-Purpose`
HTTPリクエストヘッダーは、そのリクエストがユーザーによる即時利用以外の目的でリソースを要求していることを示します。
`Sec-Purpose` ヘッダーフィールドはstructured headerであり、その値はトークンでなければなりません。
定義されているトークンはprefetchのみです。これはリクエストの目的が、近いうちに必要になると予想されるリソースを取得することであることを示します。
サーバーはこれを利用して、プリフェッチ用のキャッシュ有効期限を調整したり、プリフェッチを拒否したり、ページ訪問回数のカウント時に別扱いすることができます。
4. フェッチング
以下のアルゴリズムはfetchingを定義する。大まかに言うと、これは リクエストと、処理中のさまざまな時点で実行する 1つ以上のアルゴリズムを受け取る。 レスポンスは、 以下に列挙する最後の2つのアルゴリズムに渡される。最初の2つのアルゴリズムは、 アップロードを捕捉するために使用できる。
リクエスト request、省略可能なアルゴリズム processRequestBodyChunkLength、省略可能なアルゴリズム processRequestEndOfBody、 省略可能なアルゴリズム processEarlyHintsResponse、省略可能な アルゴリズム processResponse、省略可能な アルゴリズム processResponseEndOfBody、省略可能なアルゴリズム processResponseConsumeBody、 および省略可能な真偽値 useParallelQueue(既定値 false)が与えられたとき、 以下の手順を実行する。与えられた場合、processRequestBodyChunkLengthは、 送信されたバイト数を表す整数を受け取るアルゴリズムでなければならない。与えられた場合、 processRequestEndOfBodyは引数を受け取らないアルゴリズムでなければならない。与えられた場合、 processEarlyHintsResponseはレスポンスを受け取るアルゴリズムでなければならない。与えられた場合、 processResponseはレスポンスを受け取るアルゴリズムでなければならない。与えられた場合、 processResponseEndOfBodyはレスポンスを受け取るアルゴリズムでなければならない。与えられた場合、 processResponseConsumeBodyはレスポンス およびnull、failure、またはバイト列を受け取るアルゴリズムでなければならない。
ユーザーエージェントは、進行中のfetchを 一時停止するよう求められることがある。 ユーザーエージェントは、その一時停止要求を受け入れても無視してもよい。一時停止されたfetchは 再開できる。ユーザーエージェントは、 進行中のfetchがそのリクエストについてHTTPキャッシュ内のレスポンスを更新している場合、 その一時停止要求を無視すべきである。
requestのキャッシュモードが "no-store" である場合、または
レスポンスに `Cache-Control: no-store` ヘッダーが現れる場合、ユーザーエージェントは
リクエストについて
HTTPキャッシュ内のエントリーを更新しない。[HTTP-CACHING]
-
Assert: requestのmodeは "
navigate" である、または processEarlyHintsResponseはnullである。early hints(レスポンスであって、そのstatus が103であるもの)の処理は、ナビゲーションについてのみ精査されている。
-
taskDestinationをnullとする。
-
crossOriginIsolatedCapabilityをfalseとする。
-
requestが与えられたものとして、クライアントからリクエストを設定する。
-
requestのclientが非nullなら、次を実行する:
-
taskDestinationを、requestのclientの グローバルオブジェクトに設定する。
-
crossOriginIsolatedCapabilityを、requestの clientの cross-origin isolated capabilityに設定する。
-
-
useParallelQueueがtrueなら、taskDestinationを 新しい並列キューを開始する結果に設定する。
-
timingInfoを、新しいfetch timing infoとする。その start timeおよび post-redirect start timeは、 crossOriginIsolatedCapabilityが与えられたときの 粗化された共有現在時刻であり、 render-blockingは requestの render-blockingに設定される。
-
fetchParamsを、新しいfetch paramsとする。その requestはrequest、 timing infoはtimingInfo、 process request body chunk lengthは processRequestBodyChunkLength、 process request end-of-bodyは processRequestEndOfBody、 process early hints responseは processEarlyHintsResponse、 process responseは processResponse、 process response consume bodyは processResponseConsumeBody、 process response end-of-bodyは processResponseEndOfBody、 task destinationは taskDestination、かつ cross-origin isolated capabilityは crossOriginIsolatedCapabilityである。
-
requestのbodyがバイト 列であるなら、 requestのbodyを、requestのbody as a bodyに設定する。
-
requestを用いて、WebDriver BiDi clone network request body手順を実行する。
-
次のすべての条件がtrueである場合:
-
requestのURLのschemeが HTTP(S) schemeである
-
requestのmodeが "
same-origin"、 "cors"、または "no-cors" である -
requestのclientがnullでなく、かつ requestの clientのグローバルオブジェクトが
Windowオブジェクトである -
requestのmethodが `
GET` である -
requestのunsafe-request flagが設定されていない、または requestのheader listが空である
その場合:
-
Assert: requestのoriginは、 requestのclientの originと same origin である。
-
onPreloadedResponseAvailableを、レスポンス responseが与えられたときに、 次の手順を実行するアルゴリズムとする: fetchParamsの preloaded response candidateをresponseに設定する。
-
foundPreloadedResourceを、 requestのclientについて、 requestのURL、requestのdestination、 requestのmode、requestの credentials mode、 requestのintegrity metadata、 およびonPreloadedResponseAvailableが与えられたものとして、 preloaded resourceを消費するを呼び出した結果とする。
-
foundPreloadedResourceがtrueであり、かつfetchParamsの preloaded response candidateがnullであるなら、fetchParamsの preloaded response candidateを "
pending" に設定する。
-
-
requestのheader listが `
Accept` を含まないなら:-
valueを `
*/*` とする。 -
requestのinitiatorが "
prefetch" なら、 valueをdocument `Accept` header valueに設定する。 -
そうでない場合、ユーザーエージェントは、requestのdestinationに応じて分岐し、 もしあれば、最初に一致する文にvalueを設定すべきである:
- "
document"- "
frame"- "
iframe" - "
- document `
Accept` header value - "
image" - `
image/png,image/svg+xml,image/*;q=0.8,*/*;q=0.5` - "
json" - `
application/json,*/*;q=0.5` - "
style" - `
text/css,*/*;q=0.1` - "
text" - `
text/plain,*/*;q=0.5`
- "
-
(`
Accept`、 value) を requestのheader listに付加する。
-
-
requestのheader listが `
Accept-Language` を含まず、かつrequestの clientが非nullであるなら:-
emulatedLanguageを、 requestのclientについての WebDriver BiDi emulated languageとする。
-
emulatedLanguageが非nullなら:
-
encodedEmulatedLanguageを、emulatedLanguageを 同型エンコードしたものとする。
-
(`
Accept-Language`、encodedEmulatedLanguage) を requestの header listに 付加する。
-
-
-
requestのheader listが `
Accept-Language` を含まないなら、ユーザーエージェントは (`Accept-Language`、適切な ヘッダー値) を requestのheader listに付加すべきである。 -
requestのinternal priorityがnullであるなら、 requestのpriority、initiator、 destination、およびrender-blockingを 実装定義の方法で用いて、 requestの internal priorityを実装定義のオブジェクトに設定する。
実装定義のオブジェクトには、 HTTP/2用のストリーム重みおよび 依存関係、それが適用されるトランスポート(HTTP/3を含む)におけるExtensible Prioritization Scheme for HTTPで用いられる優先順位、 ならびにHTTP/1 fetchの ディスパッチおよび処理に優先順位を付けるために用いられる同等の情報を含めることができる。[RFC9218]
-
requestがサブリソースリクエストであるなら:
-
recordを、新しいfetchレコードとする。その requestはrequestであり、controller はfetchParamsのcontrollerである。
-
recordを、requestの clientのfetch groupの fetch recordsに付加する。
-
-
fetchParamsが与えられたものとして、main fetchを実行する。
-
fetchParamsのcontrollerを返す。
リクエスト requestが与えられたとき、 クライアントから リクエストを設定するには:
-
requestのtraversable for user promptsが "
client" であるなら:-
requestのtraversable for user promptsを "
no-traversable" に設定する。 -
requestのclientが非nullなら:
-
globalを、requestのclientの グローバルオブジェクトとする。
-
globalが
Windowオブジェクトであり、かつglobalの navigableがnullでないなら、 requestの traversable for user promptsを globalの navigableのtraversable navigableに設定する。
-
-
-
requestのoriginが "
client" であるなら: -
requestのpolicy containerが "
client" であるなら:-
requestのclientが非nullなら、 requestのpolicy containerを、 requestのclientの policy containerの クローンに設定する。[HTML]
-
そうでない場合、requestのpolicy containerを、新しい policy containerに設定する。
-
4.1. メインフェッチ
メインフェッチするには、フェッチパラメータfetchParamsとオプションのブール値recursive(デフォルトはfalse)を指定して、以下の手順を実行します:
-
requestにfetchParamsのrequestを設定する。
-
responseをnullとする。
-
requestのlocal-URLs-only flagがセットされていて、かつrequestのcurrent URLがローカルでなければ、responseにネットワークエラーを設定する。
-
悪いポートのためrequestをブロックすべきか、 混在コンテンツとしてrequestのフェッチをブロックすべきか、 Content Security Policyによりrequestをブロックすべきか、 整合性ポリシーによりrequestをブロックすべきか がblockedを返した場合、responseにネットワークエラーを設定する。
-
requestのreferrer policyが空文字列であれば、requestのreferrer policyをrequestのpolicy containerのreferrer policyに設定する。
-
requestのreferrerが"
no-referrer"でなければ、requestのreferrerをリクエストのreferrerを決定するの結果に設定する。[REFERRER]Referrer Policyに記載されている通り、ユーザーエージェントはエンドユーザーに"
no-referrer"に上書きする、またはより機微な情報のみを公開するオプションを提供できます。 -
以下すべての条件を満たす場合、requestのcurrent URLのschemeを"
https"に設定する:- requestのcurrent URLのschemeが"
http" - requestのcurrent URLのhostがドメインである
- requestのcurrent URLのhostのpublic
suffixが"
localhost"または"localhost."ではない - requestのcurrent URLのhostをKnown HSTS Host Domain
Name
Matchingで照合した結果、
includeSubDomains指令付きのスーパー領域一致または一致(includeSubDomains指令の有無問わず)が得られる、もしくはDNS解決でリクエストがsection 9.5のHTTPS RRと一致する場合。[HSTS] [SVCB]
すべてのDNS操作は通常実装定義であるため、DNS解決にHTTPS RRが含まれているかどうかの判定も実装定義です。DNS操作は伝統的にコネクション取得の試行まで行われないため、ユーザーエージェントはDNS操作を早期に実施したり、ローカルDNSキャッシュを参照したり、フェッチアルゴリズムの後段で判明した場合に論理を巻き戻す必要があるかもしれません。
- requestのcurrent URLのschemeが"
-
recursiveがfalseであれば、残りの手順を並列で実行する。
-
responseがnullであれば、最初に一致する条件の手順を実行してresponseを設定する:
- fetchParamsのpreloaded response candidateがnullでない
-
-
fetchParamsのpreloaded response candidateが"
pending"でなくなるまで待つ。 -
アサート:fetchParamsのpreloaded response candidateがレスポンスである。
-
fetchParamsのpreloaded response candidateを返す。
-
- requestのcurrent URLのoriginがrequestのoriginと同一オリジンで、かつrequestのresponse
taintingが"
basic"である- requestのcurrent URLのschemeが"
data"である- request の mode が "
navigate"、"websocket" または "webtransport" の場合 - requestのcurrent URLのschemeが"
-
-
requestのresponse taintingを"
basic"に設定する。 -
「
scheme-fetch」と fetchParams を指定して、override fetch を実行した結果を返す。
HTMLは、URL の スキーム が "
data" の場合、 そこから作成されるドキュメントおよびワーカーに一意な 不透明オリジン を割り当てます。Service Worker は URL の スキーム が HTTP(S) スキーム である場合のみ作成できます。 [HTML] [SW] -
- requestのmodeが"
same-origin"である -
ネットワークエラーを返す。
- requestのmodeが"
no-cors"である -
-
requestのredirect modeが"
follow"でなければネットワークエラーを返す。 -
requestのresponse taintingを"
opaque"に設定する。 -
「
scheme-fetch」と fetchParams を指定して、override fetch を実行した結果を返す。
-
- requestのcurrent URLのschemeがHTTP(S)スキームでない
-
ネットワークエラーを返す。
- requestのuse-CORS-preflight flagがセットされている
- requestのunsafe-request flagがセットされていて、かつrequestのmethodがCORS安全リストメソッドでない、またはCORS安全でないリクエストヘッダー名がrequestのheader listで空でない
-
-
requestのresponse taintingを"
cors"に設定する。 -
corsWithPreflightResponse を、「
http-fetch」、fetchParams、および true を指定して override fetch を実行した結果とする。 -
corsWithPreflightResponseがネットワークエラーであれば、キャッシュエントリをクリアをrequestで実行する。
-
corsWithPreflightResponseを返す。
-
- その他
-
-
requestのresponse taintingを"
cors"に設定する。 -
「
http-fetch」と fetchParams を指定して、override fetch を実行した結果を返す。
-
-
recursiveがtrueであれば、responseを返す。
-
responseがネットワークエラーでなく、かつresponseがフィルタ済みレスポンスでなければ、以下を実行する:
-
requestのresponse taintingが"
cors"であれば、以下を実行する:-
headerNamesにヘッダーリスト値の抽出を`
Access-Control-Expose-Headers`とresponseのheader listで実行した結果を設定する。 -
requestのcredentials modeが"
include"でなく、かつheaderNamesが`*`を含んでいれば、responseのCORS公開ヘッダー名リストにresponseのheader listに含まれるすべての一意なヘッダー名を設定する。 -
それ以外でheaderNamesがnullまたは失敗でなければ、responseのCORS公開ヘッダー名リストにheaderNamesを設定する。
-
-
以下に応じてresponseをresponseを内部レスポンスとするフィルタ済みレスポンスに設定する:
- "
basic" - 基本フィルタ済みレスポンス
- "
cors" - CORSフィルタ済みレスポンス
- "
opaque" - 不透明フィルタ済みレスポンス
- "
-
-
internalResponseにresponseを設定する。ただしresponseがネットワークエラーならresponse、それ以外ならresponseの内部レスポンスを設定する。
-
internalResponseのURLリストが空であるなら、 それをrequestのURLリストの クローンに設定する。
-
internalResponseのredirect taintを、requestの redirect-taintに設定する。
-
requestがナビゲーションリクエストであるなら、 internalResponseのナビゲーションタイミング許可値 リストを、requestの ナビゲーションタイミング許可値 リストのクローンに設定する。
-
requestのタイミング許可失敗フラグが未設定なら、 internalResponseのタイミング許可通過フラグを設定する。
-
responseがネットワークエラーでなく、次のいずれかが blockedを返すなら
その場合、responseおよびinternalResponseをネットワークエラーに設定する。
-
responseのtypeが "
opaque" であり、 internalResponseのstatusがrange statusであり、 internalResponseのrange-requested flagが設定されており、 requestのheader listが `Range` を含まないなら、 responseおよびinternalResponseを ネットワークエラーに設定する。従来、APIは範囲が要求されていない場合でも範囲レスポンスを受け入れる。これは、 以前の範囲リクエストからの部分レスポンスまたは範囲を満たせないレスポンスが、 範囲リクエストを行っていないAPIに提供されることを防ぐ。
さらなる詳細
上記の手順は、次の攻撃を防ぐ:
media要素が、クロスオリジンHTMLリソースの範囲を要求するために用いられる。これは 無効なメディアであるが、レスポンスのクローンへの参照をサービスワーカー内に保持できる。これは 後でscript要素のfetchへのレスポンスとして使用できる。部分レスポンスが有効な JavaScriptである場合(リソース全体はそうでなくても)、それを実行するとプライベート データが漏えいすることになる。
-
responseがネットワークエラーでなく、かつ requestのmethodが `
HEAD` または `CONNECT` であるか、またはinternalResponseの statusがnull body statusであるなら、 internalResponseのbodyを nullに設定し、それに向けたエンキューを(もしあれば)すべて無視する。これは、HTTPに違反するサーバーに対するエラー処理を標準化する。
-
requestのintegrity metadataが空文字列でないなら、 次を実行する:
-
processBodyErrorを次の手順とする:fetchParamsおよび ネットワークエラーが与えられたものとして、fetch response handoverを実行する。
-
responseのbodyがnullであるなら、 processBodyErrorを実行し、これらの手順を中止する。
-
bytesが与えられたときのprocessBodyを、次の手順とする:
-
bytesがrequestの integrity metadataに 一致しないなら、 processBodyErrorを実行し、これらの手順を中止する。[SRI]
-
fetchParamsおよびresponseが与えられたものとして、fetch response handoverを実行する。
-
-
responseのbodyを、 processBodyおよびprocessBodyErrorが与えられたものとして完全に 読む。
-
-
そうでない場合、fetchParamsおよび responseが与えられたものとして、fetch response handoverを実行する。
フェッチレスポンス引き渡しは、フェッチパラメータfetchParamsとレスポンスresponseを指定して、以下の手順を実行します:
-
timingInfoにfetchParamsのタイミング情報を設定する。
-
responseがネットワークエラーでなく、かつfetchParamsのrequestのclientがセキュアコンテキストなら、timingInfoのserver-timing headersにresponseの内部レスポンスのヘッダーリストから`
Server-Timing`を取得・デコード・分割した結果を設定する。responseの内部レスポンスを用いるのは安全です。`
Server-Timing`ヘッダー情報の公開は`Timing-Allow-Origin`ヘッダーによって制御されます。ユーザーエージェントは非セキュアコンテキストのリクエストにも`
Server-Timing`ヘッダーを公開する場合があります。 -
fetchParamsのrequestのdestinationが"
document"であれば、fetchParamsのcontrollerのfull timing infoにfetchParamsのタイミング情報を設定する。 -
processResponseEndOfBodyに以下の手順を設定する:
-
unsafeEndTimeにunsafe shared current timeを設定する。
-
fetchParamsのcontrollerのreport timing stepsに、グローバルオブジェクトglobalを受け取る手順として以下を設定する:
-
fetchParamsのrequestのURLのschemeがHTTP(S)スキームでなければreturnする。
-
timingInfoのend timeにrelative high resolution time(unsafeEndTime, globalを指定)で設定する。
-
cacheStateにresponseのcache stateを設定する。
-
bodyInfoにresponseのbody infoを設定する。
-
responseのtiming allow passed flagが未設定なら、timingInfoに不透明タイミング情報の作成(timingInfoを指定)の結果を設定し、cacheStateを空文字列に設定する。
これはresponseがネットワークエラーの場合を含みます。
-
responseStatusを0に設定する。
-
fetchParamsのrequestのmodeが"
navigate"でない、またはresponseのredirect taintが"same-origin"であれば:-
responseStatusにresponseのstatusを設定する。
-
mimeTypeにMIMEタイプの抽出(responseのheader listを指定)の結果を設定する。
-
mimeTypeが失敗でなければ、bodyInfoのcontent typeにサポートされているMIMEタイプの最小化(mimeType)の結果を設定する。
-
-
fetchParamsのrequestのinitiator typeがnullでなければ、mark resource timing(timingInfo, fetchParamsのrequestのURL, fetchParamsのrequestのinitiator type, global, cacheState, bodyInfo, responseStatus)を実行する。
-
-
processResponseEndOfBodyTaskに以下の手順を設定する:
-
fetchParamsのprocess response end-of-bodyがnullでなければ、fetchParamsのprocess response end-of-body(response)を実行する。
-
fetchParamsのrequestのinitiator typeがnullでなく、かつfetchParamsのrequestのclientのグローバルオブジェクトがfetchParamsのtask destinationであれば、fetchParamsのcontrollerのreport timing steps(fetchParamsのrequestのclientのグローバルオブジェクト)を実行する。
-
フェッチタスクをキューし、processResponseEndOfBodyTaskをfetchParamsのtask destinationで実行する。
-
-
fetchParamsのprocess responseがnullでなければ、フェッチタスクをキューし、fetchParamsのprocess response(response)をfetchParamsのtask destinationで実行する。
-
internalResponseにresponseを設定する。ただしresponseがネットワークエラーならresponse、それ以外ならresponseの内部レスポンスを設定する。
-
response がネットワークエラーであれば、 request を引数に WebDriver BiDi フェッチエラーの手順を実行する。そうでなければ、 request と response を引数に WebDriver BiDi レスポンス完了の手順を実行する。
-
internalResponseのbodyがnullなら、processResponseEndOfBodyを実行する。
-
それ以外の場合:
-
transformStreamに新しい
TransformStreamを設定する。 -
identityTransformAlgorithmに、chunkを受け取ったときtransformStreamにchunkをenqueueするアルゴリズムを設定する。
-
transformStreamのセットアップを行い、transformAlgorithmをidentityTransformAlgorithmに、flushAlgorithmをprocessResponseEndOfBodyに設定する。
-
internalResponseのbodyのstreamに、internalResponseのbodyのstreamをpipe throughした結果をtransformStreamで設定する。
この
TransformStreamは、ストリームの終端到達時の通知目的で必要です。それ以外は恒等変換ストリームです。 -
-
fetchParamsのprocess response consume bodyがnullでなければ、以下を実行する:
-
processBodyにnullOrBytesを受け取ったときfetchParamsのprocess response consume body(response, nullOrBytes)を実行する手順を設定する。
-
processBodyErrorにfetchParamsのprocess response consume body(response, failure)を実行する手順を設定する。
-
internalResponseのbodyがnullなら、フェッチタスクをキューし、processBody(null)をfetchParamsのtask destinationで実行する。
-
それ以外の場合、完全に読み取るをinternalResponseのbodyに対してprocessBody, processBodyError, fetchParamsのtask destinationで実行する。
-
4.2. オーバーライドフェッチ
オーバーライドフェッチは、「scheme-fetch」または「http-fetch」の
type、fetch params
fetchParams、さらにオプションの boolean makeCORSPreflight(デフォルトは false)を受け取る:
-
request を fetchParams の request とする。
-
response を request に対して 要求のオーバーライド可能なレスポンス を実行した結果とする。
-
response が null でなければ、response を返す。
-
type に応じて以下を実行する:
-
response を返す。
リクエストに対してレスポンスを潜在的に上書きする アルゴリズムは、リクエスト requestを受け取り、レスポンスまたはnullのいずれかを返す。その挙動は 実装定義であり、ユーザーエージェントが レスポンスを直接返すことでリクエストに 介入すること、またはnullを返すことでリクエストの続行を許可することを可能にする。
既定では、このアルゴリズムは次の自明な実装を持つ:
-
nullを返す。
ユーザーエージェントは一般に、この既定の実装を、多少より複雑な 一連の挙動で上書きする。たとえば、ユーザーエージェントは、その利用者の安全性を最もよく保つには `https://unsafe.example/` へのリクエストを一般的にブロックする一方で、 広く使用されているリソース `https://unsafe.example/widget.js` については破損を避けるためにshimを合成する、 と判断するかもしれない。その実装は次のようになるかもしれない:
4.3. スキームフェッチ
スキームフェッチは、fetch params fetchParams を受け取る:
-
fetchParams が キャンセル済みの場合、fetchParamsに対して 適切なネットワークエラー を返す。
-
request を fetchParams の request とする。
-
request の current URL の scheme に応じて以下の手順を実行する:
- "
about" -
request の current URL の path が "
blank" の場合、response を新規作成し、 status message を `OK`、 header list を « (`Content-Type`, `text/html;charset=utf-8`) »、 body を空のバイト列 本文として設定して返す。URL(例:"about:config")は ナビゲーション時に処理され、 fetchの文脈では ネットワークエラー となる。
- "
blob" -
-
blobURLEntry を、request の current URL の blob URL entry とする。
-
もし request の method が `
GET` でない、または blobURLEntry が null であるなら、network error を返す。 [FILEAPI]`
GET` method の制約は、相互運用性以外に有用な目的を持たない。 -
requestEnvironment を、request を与えて 環境を決定した結果とする。
-
isTopLevelSelfFetch を false とする。
-
もし request の client が non-null なら:
-
global を、request の client の global object とする。
-
次の条件がすべて真なら:
-
global は
Windowオブジェクトである; -
global の navigable が null ではない;
-
requestEnvironment の creation URL が equals であり、 request の current URL に等しい、
その場合、isTopLevelSelfFetch を true に設定する。
-
-
-
stringOrEnvironment を次の手順の結果とする:
-
もし request の destination が "
document" なら、 "top-level-navigation" を返す。 -
もし isTopLevelSelfFetch が true なら、 "
top-level-self-fetch" を返す。 -
requestEnvironment を返す。
-
-
blob を、blobURLEntry と stringOrEnvironment を与えて blob オブジェクトを取得した結果とする。
-
もし blob が
Blobオブジェクトでないなら、network error を返す。 -
response を新しい response とする。
-
fullLength を blob の
sizeとする。 -
serializedFullLength を、fullLength を serialized および isomorphic encoded したものとする。
-
type を blob の
typeとする。 -
もし request の header list が 含まない 場合、 `
Range` を:-
bodyWithType を、安全に抽出して得た blob の結果とする。
-
response の status message を `
OK` に設定する。 -
response の header list を « (`
Content-Length`, serializedFullLength), (`Content-Type`, type) » に設定する。
-
-
それ以外の場合:
-
response の range-requested flag を設定する。
-
rangeHeader を、取得した結果、すなわち request の header list からの `
Range` とする。 -
rangeValue を、単一の Range ヘッダー値を解析 した結果とし、rangeHeader と true を与える。
-
もし rangeValue が failure なら、network error を返す。
-
(rangeStart, rangeEnd) を rangeValue とする。
-
もし rangeStart が null なら:
-
rangeStart を fullLength − rangeEnd に設定する。
-
rangeEnd を rangeStart + rangeEnd − 1 に設定する。
-
-
それ以外の場合:
-
もし rangeStart が fullLength 以上なら、 network error を返す。
-
もし rangeEnd が null、または rangeEnd が fullLength 以上なら、rangeEnd を fullLength − 1 に設定する。
-
-
slicedBlob を、slice blob を呼び出した結果とし、 blob, rangeStart, rangeEnd + 1, および type を与える。
Range ヘッダーは包含的なバイト範囲を表す一方で、slice blob アルゴリズムの入力範囲はそうではない。slice blob アルゴリズムを使用するためには、 rangeEnd をインクリメントする必要がある。
-
slicedBodyWithType を、 安全に抽出した slicedBlob の結果とする。
-
serializedSlicedLength を、slicedBlob の
sizeを serialized および isomorphic encoded したものとする。 -
contentRange を、content range を構築した結果とし、 rangeStart, rangeEnd, および fullLength を与える。
-
response の status を 206 に設定する。
-
response の status message を `
Partial Content` に設定する。 -
response の header list を « (`
Content-Length`, serializedSlicedLength), (`Content-Type`, type), (`Content-Range`, contentRange) » に設定する。
-
-
response を返す。
-
- "
data" -
-
dataURLStruct を、request の
data:URL プロセッサ を current URL に対して実行した結果とする。 -
もし dataURLStruct が failure なら、network error を返す。
-
新しい response を返す。その status message は `
OK`、header list は « (`Content-Type`, mimeType) »、そして body は dataURLStruct の body を 本文として 用いたものである。
-
- "
file" -
現時点では不本意ながら、
file:URL は読者への演習問題として残されている。判断に迷う場合は、network error を返すこと。
- HTTP(S) スキーム
-
fetchParams を与えて HTTP fetch を実行した結果を返す。
- "
-
network error を返す。
環境を決定するためには、request request を受け取る:
-
request の reserved client が null でなければ、 request の reserved client を返す。
-
null を返す。
4.4. HTTPフェッチ
HTTPフェッチは、 fetch params fetchParams と、オプションの boolean makeCORSPreflight(デフォルトは false)を受け取り、以下の手順を実行する:
-
request を fetchParams の request とする。
-
response と internalResponse を null とする。
-
request の service-workers mode が "
all" の場合:-
requestForServiceWorker を clone で request を複製したものとする。
-
requestForServiceWorker の body が null でなければ:
-
transformStream を新しい
TransformStreamとする。 -
transformAlgorithm を chunk を受け取るアルゴリズムとして以下とする:
-
fetchParams が キャンセル済みなら、これらの手順を中止する。
-
chunk が
Uint8Arrayオブジェクトでなければ、 terminate で fetchParams の controller を終了する。 -
それ以外の場合、enqueue で chunk を transformStream に追加する。ユーザーエージェントは、チャンクを 実装定義の適切なサイズに分割して enqueue してもよいし、チャンク群を 実装定義の適切なサイズに連結して enqueue してもよい。
-
-
transformStream を transformAlgorithm にセットアップする。
-
requestForServiceWorker の body の stream を requestForServiceWorker の body の stream を pipe through transformStream した結果に設定する。
-
-
serviceWorkerStartTime を coarsened shared current time を fetchParams の cross-origin isolated capability で実行した結果とする。
-
fetchResponse を handle fetch に requestForServiceWorker、fetchParams の controller および fetchParams の cross-origin isolated capability とともに渡して呼び出した結果とする。 [HTML] [SW]
-
もし fetchResponse が response の場合:
-
response に fetchResponse を設定する。
-
fetchParams の timing info の final service worker start time に serviceWorkerStartTime を設定する。
-
fetchParams の timing info の service worker timing info に response の service worker timing info を設定する。
-
もし request の body が null でない場合、 cancel を request の body に undefined で適用する。
-
internalResponse を response に設定する。ただし、response が filtered response であれば、 response の internal response に設定する。
-
WebDriver BiDi レスポンス開始の手順を request と response を使って実行する。
-
次のいずれか真の場合
-
response の type が "
error" である -
request の mode が "
same-origin" で、かつ response の type が "cors" である -
request の mode が "
no-cors" でなく、かつ response の type が "opaque" である - request の redirect mode が
"
manual" でなく、かつ response の type が "opaqueredirect" である - request の redirect mode が
"
follow" でなく、かつ response の URL list が 2 つ以上の項目を持つ場合
その場合、network error を返す。
-
-
-
それ以外の場合、fetchResponse が service worker timing info であれば、 fetchParams の timing info の service worker timing info に fetchResponse を設定する。
-
-
response が null の場合:
-
makeCORSPreflight が true かつ以下のいずれかが真の場合:
-
method cache entry match が request の method で存在せず、かつ request の method が CORS-safelisted method でないか、 request の use-CORS-preflight flag が設定されている場合
- requestのheader listを用いた CORS-unsafe request-header names内に、requestを用いる header-name cache entry matchが存在しない 項目が 少なくとも1つある。
この場合:
-
preflightResponse を CORSプリフライトフェッチ を request で実行した結果とする。
-
preflightResponse が ネットワークエラーの場合、 preflightResponse を返す。
この手順は CORSプリフライトキャッシュ を確認し、 適切なエントリがなければ CORSプリフライトフェッチ を行い、成功すればキャッシュに登録する。 CORSプリフライトフェッチ の目的は 取得されるリソースが CORSプロトコルに対応していることを保証することである。 キャッシュは CORSプリフライトフェッチ の回数を減らすためにある。
-
-
request の redirect mode が "
follow" の場合、 request の service-workers mode を "none" に設定する。ネットワーク由来のリダイレクト(サービスワーカー由来でない場合)はサービスワーカーに公開しない。
-
response と internalResponse を HTTPネットワークまたはキャッシュフェッチ を fetchParams で実行した結果に設定する。
-
request の response tainting が "
cors" かつ CORSチェック を request と response で実行した結果が失敗の場合、 ネットワークエラー を返す。CORSチェックは、レスポンスの statusが304または407であるもの、あるいはレスポンスのうちservice workerからのものには 適用されないため、ここで適用される。
-
TAOチェック を request と response で実行した結果が失敗なら、 request の timing allow failed flag を設定する。
-
-
もし request の response tainting または response の type が "
opaque" であり、さらに cross-origin resource policy check を request の origin、 request の client、request の destination、および internalResponse に対して実行した結果が blocked を返すなら、 network error を返す。cross-origin resource policy check は、 ネットワークからのレスポンスおよびサービスワーカーからのレスポンスに対して実行される。これは CORS check とは異なり、request の client とサービスワーカーでは、異なる埋め込みポリシーを持ち得る。
-
internalResponse の status が リダイレクトステータスの場合:
-
requestがナビゲーションリクエストであるなら、 requestおよび internalResponseが与えられたものとして、 リクエストの ナビゲーションタイミング許可値リストに付加する。
-
internalResponse の status が 303 でなく request の body が null でなく connection が HTTP/2 を利用している場合、 ユーザーエージェントは
RST_STREAMフレームを送信してもよい(推奨)。303 は特定コミュニティで特別視されるため除外されている。
-
request の redirect mode に応じて:
- "
error" -
-
response を ネットワークエラー に設定する。
-
- "
manual" -
-
request の mode が "
navigate" の場合、 fetchParams の controller の next manual redirect steps に HTTPリダイレクトフェッチ を fetchParams と response で実行する手順を設定する。 -
それ以外の場合、 response を opaque-redirect filtered response に設定し、 その internal response を internalResponse にする。
-
- "
follow" -
- WebDriver BiDi レスポンス完了 の手順を request および response で実行する。
-
fetchParams と response を与えて HTTP-redirect fetch を実行した結果を response に設定する。
- "
-
-
response を返す。通常、internalResponse の body の stream は この返却後もエンキューされ続けている。
4.5. HTTP リダイレクト フェッチ
HTTP-redirect fetchを、fetch params fetchParams と response response を与えて実行するには、次の手順を行う:
-
request を、fetchParams の request とする。
-
internalResponse を response とする。ただし、response が filtered response でない場合に限る。そうでない場合は response の internal response とする。
-
locationURL を、internalResponse の location URL とする。 これは、request の current URL の fragment を与えて得る。
-
もし locationURL が null なら、response を返す。
-
もし locationURL が failure なら、network error を返す。
-
もし locationURL の scheme が HTTP(S) scheme でないなら、 network error を返す。
-
もし request の redirect count が 20 なら、 network error を返す。
-
request の redirect count を 1 増加させる。
-
もし request の mode が "
cors" で、 locationURL が credentials を含み、 かつ request の origin が locationURL の origin と same origin でないなら、network error を返す。 -
もし request の response tainting が "
cors" であり、 かつ locationURL が credentials を含むなら、network error を返す。これは、クロスオリジンのリソースが同一オリジンの URL にリダイレクトする場合を検出する。
-
もし internalResponse の status が 303 でなく、request の body が non-null であり、かつ request の body の source が null なら、network error を返す。
-
次のいずれかが真である場合
-
internalResponse の status が 301 または 302 で、 request の method が `
POST` の場合 -
internalResponse の status が 303 で、 request の method が `
GET` または `HEAD` でない場合
その場合:
-
各 headerName(request-body-header name)について、 削除 を行い、request の header list から headerName を取り除く。
-
-
もし request の current URL の origin が、 locationURL の origin と same origin でないなら、 各 headerName(CORS non-wildcard request-header name)について、 削除 を行い、request の header list から headerName を取り除く。
すなわち、初期リクエスト後に別のオリジンが見えた瞬間に、 `
Authorization` ヘッダーが削除される。 -
もし request の body が non-null なら、request の body を、body に設定する。これは、 安全に抽出した request の body の source の結果である。
-
timingInfo を、fetchParams の timing info とする。
-
timingInfo の redirect end time と post-redirect start time を、 coarsened shared current time に設定する。 これは、fetchParams の cross-origin isolated capability を与えて得る。
-
もし timingInfo の redirect start time が 0 なら、 timingInfo の redirect start time を timingInfo の start time に設定する。
-
set request’s referrer policy on redirect を、request および internalResponse に対して呼び出す。[REFERRER]
-
recursive を true とする。
-
もし request の redirect mode が "
manual" なら、 次を行う: -
main fetch を、fetchParams および recursive を与えて実行した結果を返す。
これは、request の main fetch を呼び出して、 response tainting を正しく取得する必要がある。
4.6. HTTP ネットワークまたはキャッシュ フェッチ
HTTP-network-or-cache フェッチ を、fetch params fetchParams、オプショナルな boolean isAuthenticationFetch(デフォルトは false)、およびオプショナルな boolean isNewConnectionFetch(デフォルトは false)を与えて、次の手順を実行する:
一部の実装は HTTP Caching に従って部分的コンテンツのキャッシュをサポートするかもしれません。ただし、これはブラウザキャッシュでは広くサポートされていません。 [HTTP-CACHING]
-
request を fetchParams の request とする。
-
httpFetchParams を null とする。
-
httpRequest を null とする。
-
response を null とする。
-
storedResponse を null とする。
-
httpCache を null とする。
-
revalidatingFlag を未設定とする。
-
次の手順を実行するが、abort when fetchParams が canceled の場合は中断する:
-
もし request の traversable for user prompts が "
no-traversable" かつ request の redirect mode が "error" であれば、httpFetchParams に fetchParams を、httpRequest に request を設定する。 -
それ以外の場合:
-
httpRequest に request の clone を設定する。
実装は request の body の stream が null の場合(つまり単一ボディで十分な場合)は tee しないことが推奨されます。たとえば、request の body の source が null なら、リダイレクトや認証時にフェッチは失敗します。
-
httpFetchParams を fetchParams のコピーに設定する。
-
httpFetchParams の request を httpRequest に設定する。
ユーザープロンプトやリダイレクトが発生しうる場合、ユーザーの応答やリダイレクト先決定後に改めて新しいヘッダーでリクエストを送る必要があるかもしれません。その際、オリジナルのリクエストボディが一部送信済みとなっている可能性があるため、事前にリクエスト(ボディ含め)をクローンしてスペアを確保しておく必要があります。
-
-
次のいずれかの場合 includeCredentials を true とする:
- request の credentials mode が
"
include" - request の credentials mode が
"
same-origin" かつ request の response tainting が "basic"
上記以外の場合は false とする。
- request の credentials mode が
"
-
Cross-Origin-Embedder-Policy allows credentials が request で false を返す場合、includeCredentials を false に設定する。
-
contentLength を httpRequest の body の length (httpRequest の body が null でない場合)、そうでなければ null とする。
-
contentLengthHeaderValue を null とする。
-
httpRequest の body が null かつ httpRequest の method が `
POST` または `PUT` の場合、contentLengthHeaderValue を `0` に設定する。 -
contentLength が null でなければ contentLengthHeaderValue に contentLength を シリアライズし isomorphic encode した値を設定する。
-
contentLengthHeaderValue が null でなければ、append(`
Content-Length`、contentLengthHeaderValue)を httpRequest の header list に追加する。 -
contentLength が null でなく、httpRequest の keepalive が true ならば:
-
inflightKeepaliveBytes を 0 とする。
-
group を httpRequest の client の fetch group にする。
-
inflightRecords を group 内で fetch records のうち、request の keepalive が true かつ done flag が未設定なものの集合とする。
-
For each fetchRecord of inflightRecords:
-
contentLength と inflightKeepaliveBytes の和が 64 kibibytes を超える場合、network error を返す。
この制限により、bodyを含む環境設定オブジェクトの寿命を越えて生き残れるリクエストについてサイズが制限され、無限に生き残ることができなくなります。
-
-
httpRequest の referrer が URL の場合:
-
referrerValue を httpRequest の referrer を serialize かつ isomorphic encode した値とする。
-
Append(`
Referer`、referrerValue)を httpRequest の header list に追加する。
-
-
httpRequest の initiator が "
prefetch" なら、structured field value を設定(`Sec-Purpose`、tokenprefetch)を httpRequest の header list にセットする。 -
httpRequest の header list が `
User-Agent` を含まないとき、UAは:-
userAgent を httpRequest の client の 環境デフォルト `
User-Agent` 値とする。 -
Append(`
User-Agent`、userAgent)を httpRequest の header list に追加する。
-
-
httpRequest の cache mode が "
default" かつ httpRequest の header list が `If-Modified-Since` または `If-None-Match` または `If-Unmodified-Since` または `If-Match` または `If-Range` のいずれかを含むとき、 httpRequest の cache mode を "no-store" に設定する。 -
httpRequest の cache mode が "
no-cache", httpRequest の prevent no-cache cache-control header modification flag が未設定、かつ httpRequest の header list が `Cache-Control` を含まない場合、append(`Cache-Control`、`max-age=0`)を httpRequest の header list に追加する。 -
httpRequest の cache mode が "
no-store" または "reload" の場合:-
httpRequest の header list が `
Pragma` を含まない場合、append(`Pragma`、`no-cache`)を httpRequest の header list に追加する。 -
httpRequest の header list が `
Cache-Control` を含まない場合、append(`Cache-Control`、`no-cache`)を httpRequest の header list に追加する。
-
-
httpRequest の header list が `
Range` を含む場合、append(`Accept-Encoding`、`identity`)を httpRequest の header list に追加する。これは、エンコード済みの response の一部で content codings の処理 を行う際の失敗を回避します。
さらに、多くのサーバー は、非 identity のエンコーディングが許可されている場合に `
Range` ヘッダーを誤って無視してしまうことがあります。 -
HTTPに従い httpRequest の header list を修正する。与えられた header が httpRequest の header list に 既に存在する場合は、append しない。
ここの正規化を厳密にしたいところ。たとえば下記のようなヘッダー( `
Accept-Encoding`、 `Connection`、 `DNT`、および `Host` など)は必要に応じてappend されることになります。ただしこの時点では `
Accept`、 `Accept-Charset`, `Accept-Language` は含めてはいけません。`
Accept` と `Accept-Language` は既に含まれています(fetch()を利用する場合、後者はデフォルトで含まれません)。また `Accept-Charset` は無駄なバイトです。詳細はHTTP header layer divisionも参照。 -
includeCredentials が true の場合:
-
httpRequest の header list が `
Authorization` を含まない場合:-
authorizationValue を null とする。
-
もし httpRequest に対する authentication entry が存在し、かつ httpRequest の use-URL-credentials flag が未設定である、または httpRequest の current URL が credentials を含まない 場合、 authorizationValue を authentication entry に設定する。
-
それ以外の場合で、httpRequest の current URL が credentials を含み、かつ isAuthenticationFetch が true のときは、 authorizationValue を httpRequest の current URL に、 `
Authorization` 値に変換したものを設定する。 -
もし authorizationValue が non-null なら、append を行い、 (`
Authorization`, authorizationValue) を httpRequest の header list に追加する。
-
-
proxy-authentication entry が存在する場合は、必要に応じてそれを利用する。
ここは httpRequest の credentials mode には依存しない実装としています。
-
WebDriver BiDi リクエスト送信前の手順を request で実行する。
-
httpCache を determine the HTTP cache partition の結果(httpRequest を与えて呼ぶ)で設定する。
-
httpCache が null なら httpRequest の cache mode を "
no-store" に設定する。 -
httpRequest の cache mode が "
no-store" でも "reload" でもない場合:-
storedResponse を httpCache からレスポンスを選び、必要ならバリデーション処理し、HTTP Caching の "Constructing Responses from Caches" を参考に設定する。
HTTPの規定により、`
Vary` header も考慮されます。 -
storedResponse が null でなければ:
-
cache mode が "
default" かつ storedResponse が stale-while-revalidate response で、httpRequest の client が null でない場合:-
response を storedResponse に設定する。
-
response の cache state を "
local" に設定する。 -
revalidateRequest を request の clone で作成する。
-
revalidateRequest の cache mode を "
no-cache" に設定する。 -
revalidateRequest の prevent no-cache cache-control header modification flag をセットする。
-
revalidateRequest の service-workers mode を "
none" に設定する。 -
並列で、main fetch を(fetch params の request に revalidateRequest を与えて)実行する。
この fetch は httpCache の状態更新専用で、その response は次回キャッシュアクセスまで使われません。staleなレスポンスが今回の応答に使われます。この fetch は client のコンテキストで発行されるため、clientが消えれば終了します。
-
-
それ以外の場合:
-
storedResponse が stale response であれば revalidatingFlag をセットする。
-
revalidatingFlag がセット済み かつ httpRequest の cache mode が "
force-cache" または "only-if-cached" のいずれでもなければ:-
storedResponse の header list が `
ETag` を含むとき、append(`If-None-Match`、`ETag` の value)を httpRequest の header list に追加する。 -
storedResponse の header list が `
Last-Modified` を含むとき、append(`If-Modified-Since`、`Last-Modified` の value)を httpRequest の header list に追加する。
"Sending a Validation Request" 章も参照。 HTTP Caching [HTTP-CACHING]
-
-
それ以外は response を storedResponse に、response の cache state を "
local" に設定する。
-
-
-
-
-
If aborted なら appropriate network error を fetchParams で返す。
-
response が null でない場合、 WebDriver BiDi レスポンス開始の手順を request と response で実行する。
-
response が null の場合:
-
httpRequest の cache mode が "
only-if-cached" の場合、network error を返す。 -
forwardResponse を HTTP-network fetch に httpFetchParams, includeCredentials, isNewConnectionFetch を与えて実行した結果とする。
-
httpRequest の method が unsafe かつ forwardResponse の status が 200〜399 の範囲なら httpCache の該当する storedResponses を "Invalidating Stored Responses" の規定に従い無効化し、storedResponse を null にする。[HTTP-CACHING]
-
revalidatingFlag がセット済み かつ forwardResponse の status が 304 なら:
-
storedResponse の header list を、forwardResponse の header list で、"Freshening Stored Responses upon Validation" に従い更新する。
これによりキャッシュ内の stored response も更新されます。
-
response を storedResponse に設定する。
-
response の cache state を "
validated" に設定する。
-
-
response が null なら:
-
response を forwardResponse に設定する。
-
httpRequest および forwardResponse を httpCache に "Storing Responses in Caches" の規定で保存する。[HTTP-CACHING]
forwardResponse が network error の場合、これは負のキャッシュ(negative caching)として扱われます。
関連するbody info も response と一緒にキャッシュ保存されます。
-
-
-
httpRequest の header list が `
Range` を含む場合、response の range-requested flag をセットする。 -
response の request-includes-credentials を includeCredentials に設定する。
-
response の status が 401、httpRequest の response tainting が "
cors" 以外、includeCredentials が true、かつ request の traversable for user prompts が traversable navigable の場合:-
要検証: 複数の `
WWW-Authenticate` ヘッダー、欠落、パースエラー等。 -
request の body が null でない場合:
-
request の body の source が null なら network error を返す。
-
request の body を body(safely extracting request の body の source 結果)のものに設定する。
-
-
request の use-URL-credentials flag が未設定または isAuthenticationFetch が true なら:
-
fetchParams が canceled なら appropriate network error を fetchParams で返す。
-
username および password をユーザーに request の traversable for user prompts でプロンプトして取得する。
-
Set the username(request の current URL, username)を呼ぶ。
-
Set the password(request の current URL, password)を呼ぶ。
-
-
HTTP-network-or-cache fetch(fetchParams, true を与えて)を実行した結果を response に設定する。
-
-
response の status が 407 の場合:
-
request の traversable for user prompts が "
no-traversable" の場合 network error を返す。 -
要検証: 複数の `
Proxy-Authenticate` ヘッダー、欠落、パースエラー等。 -
fetchParams が canceled なら appropriate network error を fetchParams で返す。
-
ユーザーにプロンプトし、その結果を proxy-authentication entry として保存する。[HTTP]
プロキシ認証に関する詳細は HTTP に規定されています。
-
HTTP-network-or-cache fetch(fetchParams を与える)を実行した結果を response に設定する。
-
-
下記すべてが true なら:
-
response の status が 421
-
isNewConnectionFetch が false
-
request の body が null または request の body が null でなく request の body の source が null でない
場合:
-
fetchParams が canceled なら appropriate network error を fetchParams で返す。
-
HTTP-network-or-cache fetch(fetchParams, isAuthenticationFetch, true を与えて)を実行した結果を response に設定する。
-
-
isAuthenticationFetch が true なら authentication entry を request と realm で作成する。
-
response を返す。通常 response の body の stream には戻り値時点でまだ enqueue 中です。
4.7. HTTP-network フェッチ
HTTP-network fetchを、fetch params fetchParams、 オプションの boolean includeCredentials(デフォルト false)、およびオプションの boolean forceNewConnection(デフォルト false)を与えて実行するには、次の手順を行う:
-
request を fetchParams の request とする。
-
response を null とする。
-
timingInfo を fetchParams の timing info とする。
-
networkPartitionKey を、request に対するネットワークパーティションキーの決定 を実行して得た結果とする。
-
newConnection を、もし forceNewConnection が true なら "
yes"、そうでなければ "no" にする。 -
request の mode に応じて分岐する:
- "
websocket" -
connection を、WebSocket 接続の取得(request の current URL を与えて)で得た結果とする。
- "
webtransport" -
connection を、WebTransport 接続を取得する 処理に networkPartitionKey と request を渡して得られる結果とする。
- それ以外
-
connection を、接続の取得(networkPartitionKey、 request の current URL、 includeCredentials、および newConnection を与えて)で得た結果とする。
- "
-
次の手順を実行する。ただし abort when fetchParams が canceled の場合は中止する:
-
もし connection が failure なら、network error を返す。
-
timingInfo の final connection timing info を、 clamp and coarsen connection timing info を connection の timing info、 timingInfo の post-redirect start time、 および fetchParams の cross-origin isolated capability と共に呼び出した結果に設定する。
-
もし connection が HTTP/1.x 接続で、かつ request の body が non-null であり、かつその source が null なら、network error を返す。
-
timingInfo の final network-request start time を、coarsened shared current time(fetchParams の cross-origin isolated capability を用いて得たもの)に設定する。
-
connection 上で request を用いた HTTP リクエストを行い、その結果を response に設定する。ただし以下の注意を伴う:
-
HTTP に関する関連要件に従うこと。[HTTP] [HTTP-CACHING]
-
もし request の body が non-null で、かつその source が null なら、ユーザーエージェントは最大 64 KiB のバッファを保持して request の一部の body をそこに保存してよい。もしユーザーエージェントがそのバッファサイズを超えて request の body を読み、かつ再送が必要になった場合は、代わりに network error を返す。
-
次の処理を繰り返す:
-
timingInfo の final network-response start time に fetchParams の cross-origin isolated capability を与えて coarsened shared current time を設定する。 これは、ユーザーエージェントの HTTP パーサーがレスポンスの最初のバイト(たとえば HTTP/2 ならフレームヘッダバイトや、HTTP/1.x ならレスポンスステータスライン)を受信した直後に行う。
-
すべての HTTP レスポンスヘッダーが伝送されるまで待つ。
-
WebDriver BiDi レスポンス開始の手順を request と response で実行する。
-
status を HTTP レスポンスのステータスコードとする。
-
status が 100 以上 199 以下の範囲にある場合:
-
timingInfo の first interim network-response start time が 0 ならば、timingInfo の first interim network-response start time を timingInfo の final network-response start time で設定する。
-
status が 103 かつ fetchParams の process early hints response が null でない場合、fetch タスクをキューして fetchParams の process early hints response を response とともに実行する。
-
継続 (Continue) する。
これらの種類の HTTP レスポンスの後には、最終的な "final" HTTP レスポンスが続く。
-
-
break する。
-
Fetch と HTTP の正確なレイヤリングは依然として整理が必要であり、そのため response はここでは response と HTTP レスポンスの両方を表します。
もし HTTP リクエストが TLS クライアント証明書ダイアログを必要とする場合は、次を行う:
-
もし request の traversable for user prompts が traversable navigable であれば、ダイアログをその request の traversable for user prompts に表示可能にする。
-
それ以外の場合、network error を返す。
request の body(ここでは body と呼ぶ)を送信するには、次の手順を実行する:
-
もし body が null で、かつ fetchParams の process request end-of-body が non-null なら、queue a fetch task して fetchParams の同名の処理を fetchParams の task destination で実行する。
-
それ以外で body が non-null の場合:
-
processBodyChunk(bytes を受け取る)を次の手順として定義する:
-
もし fetchParams が canceled なら、これらの手順を中止する。
-
このステップを in parallel で実行する:bytes を送信する。
-
もし fetchParams の process request body chunk length が non-null なら、fetchParams の同名の処理を bytes の length を与えて実行する。
-
-
processEndOfBody を次の手順として定義する:
-
もし fetchParams が canceled なら、中止する。
-
もし fetchParams の process request end-of-body が non-null なら、それを実行する。
-
-
processBodyError(引数 e)を次の手順として定義する:
-
もし fetchParams が canceled なら中止する。
-
もし e が "
AbortError"DOMExceptionであれば、abort で fetchParams の controller を中断する。 -
それ以外の場合は、terminate で fetchParams の controller を終了する。
-
-
Incrementally read を使って、request の body を processBodyChunk、processEndOfBody、processBodyError、および fetchParams の task destination を与えて逐次的に読み取る。
-
-
-
-
If aborted なら、次を実行する:
-
もし connection が HTTP/2 を使用しているなら、
RST_STREAMフレームを送信する。 -
fetchParams に対する appropriate network error を返す。
-
-
buffer を空の byte sequence とする。
これはユーザーエージェントのネットワークレイヤ内部の内部バッファを表す。
-
stream を新しい
ReadableStreamとする。 -
pullAlgorithm を次の手順とする:
-
promise を 新しい Promise とする。
-
次の手順を 並行して 実行する:
-
もし buffer のサイズがユーザーエージェントが選んだ下限より小さく、かつ 現在のフェッチが suspended であるなら、フェッチを resume する。
-
buffer が空でなくなるまで待つ。
-
Queue a fetch task して、以下を fetchParams の task destination で実行する。
-
Pull from bytes で buffer から stream にデータを引き出す。
-
もし stream が errored なら、terminate で fetchParams の controller を終了する。
-
Resolve promise を undefined で完了する。
-
-
-
promise を返す。
-
-
cancelAlgorithm を、与えられた reason に対して abort を行い fetchParams の controller を中断するアルゴリズムとする。
-
Set up で stream をバイト読み取り対応でセットアップし、pullAlgorithm を pullAlgorithm、cancelAlgorithm を cancelAlgorithm に設定する。
-
WebDriver BiDi ネットワークレスポンスボディ複製の手順を、 request と response で実行する。
-
もし includeCredentials が true なら、ユーザーエージェントは request と response を与えて レスポンスの `
Set-Cookie` ヘッダをパースして保存 すべきである。 -
次の手順を 並行して 実行する:
-
次の手順を実行する。ただし abort when fetchParams が canceled の場合は中止する:
-
繰り返し実行する:
-
もし response のメッセージ本文から 1 バイト以上が送信されているなら:
-
bytes を送信されたバイトとする。
-
codings を、`
Content-Encoding` と response の header list から header list values を抽出 した結果とする。 -
filteredCoding を "
@unknown" にする。 -
もし codings が null または failure なら filteredCoding を空文字にする。
-
そうでなく、かつ codings の size が 1 より大きければ、filteredCoding を "
multiple" にする。 -
それ以外で、もし codings[0] が空文字、またはユーザーエージェントがサポートしており、かつ バイトケース非区別 な比較で HTTP Content Coding Registry に記載されたエントリに一致するなら、filteredCoding を byte-lowercasing を行った codings[0] にする。[IANA-HTTP-PARAMS]
-
response の body info の content encoding を filteredCoding に設定する。
-
response の body info の encoded size を bytes の length だけ増やす。
-
bytes を、handle content codings に codings と共に与えて処理した結果にする。
これにより `
Content-Length` ヘッダの信頼性が、元々の信頼性に応じて損なわれる可能性がある。 -
response の body info の decoded size を bytes の length だけ増やす。
-
もし bytes が failure なら、terminate で fetchParams の controller を終了する。
-
bytes を buffer に追記する。
-
もし buffer のサイズがユーザーエージェントが選んだ上限より大きければ、ユーザーエージェントに継続中のフェッチを suspend するよう要求する。
-
-
それ以外で、もし response のメッセージ本文のバイト送信が正常に完了しており、かつ stream が readable なら、close で stream を閉じ、これらの並行ステップを中止する。
-
-
-
If aborted なら、次を実行する:
-
もし fetchParams が aborted なら、次を実行する:
-
response の aborted flag を設定する。
-
もし stream が readable なら、error で stream を、fetchParams の controller の serialized abort reason を deserialize a serialized abort reason に渡した結果と実装定義の realm を用いてエラー化する。
-
-
それ以外で、もし stream が readable なら、error で stream を TypeError にする。
-
もし connection が HTTP/2 を使用しているなら、
RST_STREAMフレームを送信する。 -
それ以外の場合、パフォーマンス上問題がない限りユーザーエージェントは connection を閉じるべきである。
例えば、再利用可能な接続で残りの転送がごく少量とわかっている場合、接続を閉じて次のフェッチでハンドシェイクをやり直すよりも、接続を開いたままにしておくほうが良いことがある。
-
これらは並行して実行される。現時点では response の body が関連するかどうか不明(response がリダイレクトである可能性がある)ためである。
-
4.8. CORSプリフライトフェッチ
これは実質的に、CORSプロトコルが理解されているかどうかを確認するためのユーザーエージェント実装である。いわゆるCORSプリフライトリクエスト。成功すると、CORSプリフライトキャッシュに登録され、このフェッチの回数を最小限に抑える。
リクエスト requestが与えられたとき、 CORS-preflight fetchするには、次の手順を実行する:
-
preflightを、新しいリクエストとする。その methodは `
OPTIONS`、 URL listは requestの URL listのクローン、 initiatorはrequestのinitiator、 destinationはrequestのdestination、 originはrequestのorigin、 referrerはrequestのreferrer、 referrer policyはrequestのreferrer policy、 modeは "cors"、 response taintingは "cors"、かつ WebDriver idはrequestのWebDriver idである。preflightのservice-workers modeは問題にならない。 このアルゴリズムはHTTP fetchではなく、HTTP-network-or-cache fetchを用いるためである。
-
(`
Accept`、 `*/*`) を preflightのheader listに付加する。 -
(`
Access-Control-Request-Method`、 requestの method) をpreflightのheader listに付加する。 -
headersを、 requestのheader listを用いた CORS-unsafe request-header namesとする。
-
headersが空でないなら:
-
valueを、headers内の項目を互いに `
,` で区切ったものとする。 -
(`
Access-Control-Request-Headers`、 value) を preflightのheader listに付加する。
これは意図的にcombineを用いない。 0x2Cの後に0x20を置くことは、良くも悪くも、これが実装されてきた方法ではないためである。
-
-
responseを、preflightを requestとする新しいfetch paramsが 与えられたものとして、HTTP-network-or-cache fetchを実行した結果とする。
-
requestおよびresponseについてのCORS checkがsuccessを返し、かつ responseのstatusがok statusであるなら:
CORS checkは、正しいcredentials modeが用いられることを保証するため、 preflightではなくrequestに対して行われる。
-
methodsを、 `
Access-Control-Allow-Methods` およびresponseの header listが与えられたものとして、 header list valuesを抽出する結果とする。 -
headerNamesを、 `
Access-Control-Allow-Headers` およびresponseの header listが与えられたものとして、 header list valuesを抽出する結果とする。 -
methodsまたはheaderNamesのいずれかがfailureであるなら、 ネットワークエラーを返す。
-
methodsがnullであり、かつrequestのuse-CORS-preflight flag が設定されているなら、methodsをrequestの methodを含む新しいリストに設定する。
これにより、 requestのuse-CORS-preflight flagが設定されていることによって発生したCORS-preflight fetchが キャッシュされることを保証する。
-
requestのmethodがmethods内になく、 requestのmethodがCORS-safelisted methodでなく、かつ requestのcredentials modeが "
include" であるか、または methodsが `*` を含まないなら、ネットワークエラーを返す。 -
requestのheader listの namesの1つがCORS non-wildcard request-header nameであり、かつheaderNames内の項目に対するバイト大小無視一致でないなら、 ネットワークエラーを返す。
-
requestの header listを用いた CORS-unsafe request-header namesの各 unsafeNameについて、unsafeNameがheaderNames内の項目に対するバイト大小無視 一致でなく、かつrequestの credentials modeが "
include" であるか、またはheaderNamesが `*` を含まないなら、ネットワークエラーを返す。 -
max-ageを、 `
Access-Control-Max-Age` およびresponseの header listが与えられたものとして、 header list valuesを抽出する結果とする。 -
max-ageがfailureまたはnullであるなら、max-ageを5に設定する。
-
max-ageが max-ageに課される制限を超えるなら、max-ageを その課される制限に設定する。
-
ユーザーエージェントがcacheを提供しないなら、 responseを返す。
-
methods内の各methodのうち、 requestを用いるmethod cache entry matchが存在するものについて、 一致するエントリーの max-ageをmax-ageに設定する。
-
methods内の各methodのうち、 requestを用いる method cache entry matchが存在しないものについて、 request、max-age、method、およびnullを用いて 新しいキャッシュエントリーを作成する。
-
headerNames内の各headerNameのうち、 requestを用いる header-name cache entry matchが存在するものについて、 一致するエントリーの max-ageをmax-ageに設定する。
-
headerNames内の各headerNameのうち、 requestを用いる header-name cache entry matchが存在しないものについて、 request、max-age、null、およびheaderNameを用いて 新しいキャッシュエントリーを作成する。
-
responseを返す。
-
-
そうでない場合、ネットワークエラーを返す。
4.9. CORSプリフライトキャッシュ
ユーザーエージェントには CORSプレフライトキャッシュ が関連付けられている。 CORSプレフライトキャッシュ は リスト であり、 キャッシュエントリ のリストである。
キャッシュエントリ は次から成る:
- キー(ネットワークパーティションキー)
- バイト列化されたオリジン( バイト列)
- URL(URL)
- max-age(秒数)
- クレデンシャル(ブール値)
- メソッド(null、`
*`、または メソッド) - ヘッダー名(null、`
*`、 または ヘッダー名)
キャッシュエントリ は max-age フィールドに指定された秒数が 記録から経過した後、削除されなければならない。キャッシュエントリ は それ以前にも削除されてもよい。
新しいキャッシュエントリを作成するには、 request、max-age、method、headerName を与えて次の手順を実行する:
-
entry を キャッシュエントリ とし、以下のように初期化する:
- キー
-
ネットワークパーティションキーを決定する の request による結果
- バイト列化されたオリジン
-
リクエストオリジンのバイト列化 を request で実行した結果
- URL
-
request の current URL
- max-age
-
max-age
- クレデンシャル
-
request の credentials mode が "
include" の場合 true、 それ以外は false - メソッド
-
method
- ヘッダー名
-
headerName
-
entry をユーザーエージェントの CORSプレフライトキャッシュ に追加する。
キャッシュエントリを消去するには、request を与え、 ユーザーエージェントの CORSプレフライトキャッシュ 内の キャッシュエントリ で、 key が request でネットワークパーティションキーを決定 した結果と一致し、 バイト列化されたオリジン が request でリクエストオリジンのバイト列化 の結果と一致し、 URL が request の current URL であるエントリを 削除 する。
キャッシュエントリ entry が request と 一致するとは、 entry の key が request でネットワークパーティションキーを決定 した結果と一致し、 entry の バイト列化されたオリジン が request でリクエストオリジンのバイト列化 の結果と一致し、 entry の URL が request の current URL であり、さらに以下のいずれかが成り立つ場合を指す。
- entry の クレデンシャル が true
- entry の クレデンシャル が false かつ request の
credentials mode が "
include" でない
が真である。
メソッドキャッシュエントリが一致する
とは、method と request を与えたとき、
ユーザーエージェントの CORSプレフライトキャッシュ 内に
request との キャッシュエントリの一致 があり、
その メソッド が
method または `*` である キャッシュエントリ が存在することである。
ヘッダー名キャッシュエントリが一致する とは、 headerName と request を与えたとき、 ユーザーエージェントの CORSプレフライトキャッシュ 内の キャッシュエントリ に request との キャッシュエントリの一致 があり、次のいずれかが成り立つときである:
- その ヘッダー名 が バイト大文字小文字を区別せず一致 し、 headerName と一致する
- その ヘッダー名 が `
*` であり、 headerName が CORS非ワイルドカードリクエストヘッダー名 でない
が真である。
4.10. CORSチェック
CORSチェックを request と response で実行するには、以下の手順を行う:
-
origin を response の header list から `
Access-Control-Allow-Origin` を 取得した結果とする。 -
origin が null なら failure を返す。
null は `
null` とは異なる。 -
request の credentials mode が "
include" でなく、かつ origin が `*` の場合、success を返す。 -
request に対して リクエストオリジンのバイト列化 を実行した結果が origin でなければ failure を返す。
-
request の credentials mode が "
include" でなければ success を返す。 -
credentials を response の header list から `
Access-Control-Allow-Credentials` を 取得した結果とする。 -
credentials が `
true` なら success を返す。 -
failure を返す。
4.11. TAOチェック
request と response に対して TAO チェック を実行するには、次の手順を行う:
-
もし request の timing allow failed flag がセットされているなら、失敗を返す。
-
values を、`
Timing-Allow-Origin` を取得・デコード・分割 を response の header list に対して行った結果とする。 -
もし values が "
*" を含む なら、成功を返す。 -
もし values が 含む 場合、 request オリジンをシリアライズした結果(request を用いて)を、 成功を返す。
-
もし request の mode が "
navigate" であり、 request の current URL の origin が request の origin と 同一生成元でないなら、失敗を返す。これは入れ子 navigable のナビゲーションのために必要です。 この場合 request の origin はコンテナドキュメントの origin となり、 TAO チェック は失敗を返すことになる。 ナビゲーションタイミングは TAO チェック の結果を検証しないため、 入れ子のドキュメントにはタイミング情報すべてにアクセス可能だが、 コンテナドキュメントには与えられない。
-
もし request の response tainting が "
basic" なら、成功を返す。 -
失敗を返す。
リクエスト requestおよびレスポンス responseが与えられたとき、 リクエストのナビゲーション タイミング許可値リストに付加するには:
-
Assert: requestはナビゲーションリクエストである。
-
taoValuesを、 responseのheader listから `
Timing-Allow-Origin` を 取得し、デコードし、分割する結果とする。 -
taoValuesがnullなら、taoValuesを « » に設定する。
-
taoValuesをrequestの ナビゲーションタイミング許可値 リストに付加する。
4.12. 遅延フェッチ
遅延フェッチは、呼出し元が可能な限り遅いタイミング、すなわちフェッチグループが終了する時や タイムアウト後などにフェッチを行うよう要求できるようにする。
遅延フェッチタスクソースは、
遅延フェッチの結果を更新するために使われる
タスクソース
である。ユーザーエージェントはこの
タスクソース
のタスクを、他のタスクソース、
特にDOM操作タスクソースなどスクリプトの実行につながる
タスクソースよりも優先して処理しなければならない。これは
fetchLater()
の呼び出しの最新状態が、依存するかもしれないスクリプトより前に反映されるようにするためである。
リクエスト
request、nullまたは
DOMHighResTimeStamp
activateAfter、および引数を取らないアルゴリズムである
onActivatedWithoutTerminationが与えられたとき、
遅延fetchを
キューに入れるには:
-
requestが与えられたものとして、クライアントからリクエストを設定する。
-
requestのservice-workers modeを "
none" に設定する。 -
requestのkeepaliveをtrueに設定する。
-
deferredRecordを、新しい遅延fetchレコードとする。その requestはrequestであり、その notify invokedは onActivatedWithoutTerminationである。
-
deferredRecordを、requestの clientのfetch groupの 遅延fetchレコードに付加する。
-
activateAfterが非nullなら、次の手順を並列に実行する:
-
ユーザーエージェントは、次の条件のいずれかが満たされるまで待機すべきである:
-
少なくともactivateAfterミリ秒が経過した。
-
ユーザーエージェントが、スクリプトを実行する機会を失いそうだと信じる理由を持つ。 たとえば、ブラウザーがバックグラウンドに移動されたとき、または requestのclientの グローバルオブジェクトが
Windowオブジェクトであり、その 関連文書が長期間 "hidden" visibility stateであった場合である。
-
-
deferredRecordを処理する。
-
-
deferredRecordを返す。
リクエスト requestの 合計 リクエスト長を計算するには:
fetch group fetchGroupが与えられたとき、 遅延 fetchを処理するには:
-
fetchGroupの 遅延fetchレコードの各 遅延fetchレコード deferredRecordについて反復し、 deferredRecordについて遅延fetchを処理する。
deferredRecordについて 遅延 fetchを処理するには:
-
deferredRecordのinvoke stateが "
pending" でないなら、戻る。 -
deferredRecordのinvoke stateを "
sent" に設定する。 -
deferredRecordのrequestの clientのグローバルオブジェクトを用いて、 deferredRecordのnotify invokedを実行するため、 グローバルタスクをキューに入れる。これは遅延fetch タスクソース上で行う。
4.12.1. 遅延フェッチのクォータ
この節は規範的ではありません。
遅延フェッチクォータは、トップレベルトラバーサブル(「タブ」)ごとに640キビバイト割り当てられます。 トップレベル文書と同一オリジンの直接ネスト文書はこのクォータを使って遅延フェッチをキューしたり、パーミッションポリシーを使って一部をクロスオリジンのネスト文書に委譲したりできます。
デフォルトでは、640キビバイトのうち128キビバイトがクロスオリジンのネスト文書への委譲に割り当てられ、各文書は8キビバイトを予約します。
トップレベルのdocumentおよびそのネスト文書は、パーミッションポリシーを使って自身のクォータのうちどれだけをクロスオリジンの子文書に委譲するかを制御できます。デフォルトでは、
"deferred-fetch-minimal"
ポリシーは任意のオリジンに対して有効、
"deferred-fetch"
はトップレベル文書のオリジンだけに有効です。特定のオリジンやネスト文書に対して
"deferred-fetch"
ポリシーを緩和すれば、そのネスト文書に64キビバイトを割り当てられます。同様に
"deferred-fetch-minimal"
ポリシーを特定のオリジンやネスト文書に対して制限すれば、その文書がデフォルトで受け取る8キビバイト予約を防ぐことができます。トップレベル文書自身に
"deferred-fetch-minimal"
ポリシーを無効化すれば、128キビバイトの委譲クォータがメインプール(640キビバイト)に戻されます。
あるdocumentに割り当てられたクォータのうち、同じレポートオリジン(request の URL の origin)に同時に使えるのは64キビバイトだけです。これにより、特定のサードパーティーライブラリがデータ送信前に機会的にクォータを予約してしまう事態を防げます。
以下のいずれかのfetchLater()呼び出しは、リクエスト自体がレポートオリジンに割り当てられた64キビバイトクォータを超えるためthrowされます。リクエストのサイズはURL自体、body、header list、referrerを含みます。
fetchLater(a_72_kb_url);
fetchLater("https://origin.example.com", {headers: headers_exceeding_64kb});
fetchLater(a_32_kb_url, {headers: headers_exceeding_32kb});
fetchLater("https://origin.example.com", {method: "POST", body: body_exceeding_64_kb});
fetchLater(a_62_kb_url /* with a 3kb referrer */);
次のシーケンスでは、最初の2つのリクエストは成功しますが、3つ目はthrowされます。最初の2回の呼び出しでは全体の640キビバイトクォータは超えていませんが、3つ目のリクエストはhttps://a.example.comのレポートオリジンクォータを超えるためthrowされます。
fetchLater("https://a.example.com", {method: "POST", body: a_64kb_body});
fetchLater("https://b.example.com", {method: "POST", body: a_64kb_body});
fetchLater("https://a.example.com");
同一オリジンのネスト文書は親のクォータを共有します。しかし、クロスオリジンやクロスエージェントiframeはデフォルトで8キビバイトしか割り当てられません。従って、以下の例では最初の3回の呼び出しは成功し、最後はthrowされます。
// メインページ内
fetchLater("https://a.example.com", {method: "POST", body: a_64kb_body});
// 同一オリジンのネスト文書内
fetchLater("https://b.example.com", {method: "POST", body: a_64kb_body});
// https://fratop.example.com のクロスオリジンネスト文書内
fetchLater("https://a.example.com", {body: a_5kb_body});
fetchLater("https://a.example.com", {body: a_12kb_body});
前述の例でthrowされないようにするには、トップレベル文書が例えば以下のヘッダーを送信してhttps://fratop.example.comへクォータを委譲します:
Permissions-Policy: deferred-fetch=(self "https://fratop.example.com")
各ネスト文書は自身のクォータを予約します。したがって、下記のように各フレームが8キビバイトずつ予約するため動作します:
// https://fratop.example.com/frame-1 のクロスオリジンネスト文書内
fetchLater("https://a.example.com", {body: a_6kb_body});
// https://fratop.example.com/frame-2 のクロスオリジンネスト文書内
fetchLater("https://a.example.com", {body: a_6kb_body});
以下のツリーは異なるネスト文書にクォータがどのように分配されるかを示します:
-
https://top.example.com(Permissions-policy: deferred-fetch=(self "https://ok.example.com")が設定されている)-
https://top.example.com/frame:トップレベル遷移可能と同じオリジンなのでクォータを共有する。-
https://x.example.com:8キビバイトを受け取る。
-
-
https://x.example.com:8キビバイトを受け取る。-
https://top.example.com:0。同一オリジンだがクロスオリジンの中間層があるため自動でクォータは共有されない。
-
-
https://ok.example.com/good:"deferred-fetch"ポリシーによって64キビバイトを受け取る。-
https://x.example.com:クォータなし。トップレベル遷移可能と同一オリジンのみが"deferred-fetch-minimal"ポリシーにより8キビバイトを付与できる。
-
-
https://ok.example.com/redirectからhttps://x.example.comへ遷移:クォータなし。https://ok.example.com用に予約された64キビバイトはhttps://x.example.comでは利用不可。 -
https://ok.example.com/backからhttps://top.example.comへ戻る:同一オリジンなのでトップレベル遷移可能とクォータを共有する。
-
上記の例では、トップレベル遷移可能とその同一オリジンの子孫は384キビバイトのクォータを共有します。その値は以下のように計算されます:
-
640キビバイトが最初にトップレベル遷移可能に付与される。
-
128キビバイトが"
deferred-fetch-minimal"ポリシー用に予約される。 -
64キビバイトが
https://ok.example/goodへの遷移用に予約される。 -
64キビバイトが
https://ok.example/redirectへの遷移用に予約され、遷移時に失われる。 https://ok.example.com/backは64キビバイトを予約しない。なぜならトップレベル遷移可能のオリジンに戻ったため。-
640 − 128 − 64 − 64 = 384キビバイト。
この仕様は、文字列"deferred-fetch"で識別されるポリシー制御機能を定義します。そのデフォルト許可リストは"self"です。
この仕様は、文字列"deferred-fetch-minimal"で識別されるポリシー制御機能を定義します。そのデフォルト許可リストは"*"です。
deferred-fetch-minimal用に予約されたクォータは128キビバイトです。
各ナビゲーション可能コンテナは関連付けられた数値遅延フェッチ用予約クォータを持ちます。その値はミニマルクォータ(8キビバイト)、ノーマルクォータ(0または64キビバイト)。特に記載がない場合は0です。
利用可能な遅延フェッチクォータ を、document document と、origin-または-null の origin を指定して取得するには:
-
controlDocumentにdocumentの遅延フェッチ制御文書を設定する。
-
navigableにcontrolDocumentのノード遷移可能を設定する。
-
isTopLevelにcontrolDocumentのノード遷移可能がトップレベル遷移可能ならtrue、そうでなければfalseを設定する。
-
deferredFetchAllowedにcontrolDocumentが"
deferred-fetch"ポリシー制御機能の利用を許可されていればtrue、そうでなければfalseを設定する。 -
deferredFetchMinimalAllowedにcontrolDocumentが"
deferred-fetch-minimal"ポリシー制御機能の利用を許可されていればtrue、そうでなければfalseを設定する。 -
quotaに最初に一致する条件の結果を設定する:
- isTopLevelがtrueかつdeferredFetchAllowedがfalse
- 0
- isTopLevelがtrueかつdeferredFetchMinimalAllowedがfalse
-
640キビバイト
640kbはみんなに十分なはずです。
- isTopLevelがtrue
-
512キビバイト
デフォルト640キビバイトからdeferred-fetch-minimal用予約クォータ分を減算した値
- deferredFetchAllowedがtrueかつnavigableのナビゲーション可能コンテナの遅延フェッチ用予約クォータがノーマルクォータ
- ノーマルクォータ
- deferredFetchMinimalAllowedがtrueかつnavigableのナビゲーション可能コンテナの遅延フェッチ用予約クォータがミニマルクォータ
- ミニマルクォータ
- それ以外
- 0
-
quotaForRequestOriginに64キビバイトを設定する。
-
controlDocumentの node navigableのinclusive descendant navigablesのうち、 そのactive documentのdeferred-fetch control documentが controlDocumentである各navigableについて反復する:
-
navigableの active documentのshadow-including inclusive descendants内のnavigable containerである各containerについて反復し、 quotaをcontainerの reserved deferred-fetch quotaだけ減少させる。
-
navigableのactive documentの関連設定オブジェクトの fetch groupの 遅延fetchレコード内の各遅延fetch レコード deferredRecordについて反復する:
-
deferredRecordのinvoke state が "
pending" でないなら、continueする。 -
quotaをrequestLengthだけ減少させる。
-
deferredRecordのrequestの URLのオリジンがoriginとsame originであるなら、 quotaForRequestOriginをrequestLengthだけ減少させる。
-
-
-
quotaが0以下なら0を返す。
-
quotaがquotaForRequestOrigin未満ならquotaを返す。
-
quotaForRequestOriginを返す。
遅延フェッチクォータの予約は、ナビゲーション可能コンテナcontainerとoriginoriginToNavigateToを指定して以下を実行します:
これはナビゲーション時、ナビゲーション元文書がnavigableの親文書である場合に呼ばれます。パーミッションポリシーで許可されていれば、コンテナおよびそのナビゲーション可能要素に最大64kbまたは8kbのクォータを予約します。予約されたクォータが実際に使われたかどうかはコンテナ文書から観測できません。このアルゴリズムは、コンテナの文書がナビゲート先コンテナにクォータを委譲する可能性があると仮定し、予約されたクォータはその場合のみ適用され、共有されることになった場合は無視されます。クォータが予約され、その文書が親と同一オリジンとなった場合、クォータは解放されます。
-
containerの遅延フェッチ用予約クォータを0に設定する。
-
controlDocumentにcontainerのノード文書の遅延フェッチ制御文書を設定する。
-
"
deferred-fetch" の継承ポリシー(container, originToNavigateTo)が"Enabled"であり、controlDocumentの利用可能な遅延フェッチクォータがノーマルクォータ以上であれば、containerの遅延フェッチ用予約クォータをノーマルクォータに設定してreturnする。 -
以下すべてが真の場合:
-
controlDocumentのノード遷移可能がトップレベル遷移可能である
-
"
deferred-fetch-minimal" の継承ポリシー(container, originToNavigateTo)が"Enabled"である -
controlDocumentのノード遷移可能の子孫遷移可能(除外:コンテナのnavigable containerの遅延フェッチ用予約クォータがミニマルクォータでないものを除外)のサイズが、deferred-fetch-minimal用予約クォータ / ミニマルクォータ より小さい
この場合、containerの遅延フェッチ用予約クォータをミニマルクォータに設定する。
-
遅延フェッチクォータの解放(可能性あり)は、文書documentに対して、documentのノード遷移可能のコンテナ文書がnullでなく、かつそのoriginがdocumentと同一オリジンであれば、documentのノード遷移可能のnavigable containerの遅延フェッチ用予約クォータを0に設定する。
これは文書が生成されたときに呼ばれます。同一オリジンのネスト文書は親クォータを共有するため予約しません。これは文書生成時のみ呼ばれ、originはリダイレクト処理後にのみ判明するためです。
遅延フェッチ制御文書の取得は、文書documentについて以下を実行する:
5. Fetch API(フェッチAPI)
fetch()メソッドは、リソースの取得のための比較的低レベルなAPIです。現行標準ではXMLHttpRequestよりも少し広い範囲をカバーしますが、リクエスト進行状況(レスポンス進行状況ではなく)の点ではまだ不十分です。
fetch()メソッドは、リソースを取得してその内容をBlobとして抽出するのを非常に簡単にします:
fetch("/music/pk/altes-kamuffel.flac")
.then(res => res.blob()).then(playBlob)
特定のレスポンスヘッダーだけを記録したい場合:
fetch("/", {method:"HEAD"})
.then(res => log(res.headers.get("strict-transport-security")))
クロスオリジンリソースの特定のレスポンスヘッダーを確認し、そのあとレスポンスを処理したい場合:
fetch("https://pk.example/berlin-calling.json", {mode:"cors"})
.then(res => {
if(res.headers.get("content-type") &&
res.headers.get("content-type").toLowerCase().indexOf("application/json") >= 0) {
return res.json()
} else {
throw new TypeError()
}
}).then(processJSON)
URLクエリパラメータを扱いたい場合:
var url = new URL("https://geo.example.org/api"),
params = {lat:35.696233, long:139.570431}
Object.keys(params).forEach(key => url.searchParams.append(key, params[key]))
fetch(url).then(/* … */)
ボディデータを逐次受信したい場合:
function consume(reader) {
var total = 0
return pump()
function pump() {
return reader.read().then(({done, value}) => {
if(done) {
return
}
total += value.byteLength
log(`received ${value.byteLength} bytes (${total} bytes in total)`)
return pump()
})
}
}
fetch("/music/pk/altes-kamuffel.flac")
.then(res => consume(res.body.getReader()))
.then(() => log("全データをメモリに保持せずにボディ全体を消費しました!"))
.catch(e => log("何か問題が発生しました: " + e))
5.1. Headersクラス
typedef (sequence <sequence <ByteString >>or record <ByteString ,ByteString >); [HeadersInit Exposed =(Window ,Worker )]interface {Headers constructor (optional HeadersInit );init undefined append (ByteString ,name ByteString );value undefined delete (ByteString );name ByteString ?get (ByteString );name sequence <ByteString >getSetCookie ();boolean has (ByteString );name undefined set (ByteString ,name ByteString );value iterable <ByteString ,ByteString >; };
Headers オブジェクトは、
関連付けられた
ヘッダーリスト(
header list)を持つ。
これは初期状態では空である。これは他のもの、例えば
header
listへのポインタでもよく、
Request
オブジェクトの
request
の場合が例である。
Headersオブジェクトには、さらに関連付けられたガード(headers guard)があります。headers
guardは、"immutable"、"request"、"request-no-cors"、"response"、"none"のいずれかです。
headers = new Headers([init])-
新しい
Headersオブジェクトを生成します。initで内部のヘッダーリストを初期化できます(下記例参照)。 headers . append(name, value)-
headersにヘッダーを追加します。
headers . delete(name)-
headersからヘッダーを削除します。
headers . get(name)-
nameと一致する全ヘッダー値を、カンマ+スペース区切りで文字列として返します。
headers . getSetCookie()-
`
Set-Cookie`名の全ヘッダー値リストを返します。 headers . has(name)-
nameという名前のヘッダーが存在するかどうかを返します。
headers . set(name, value)-
最初に一致したnameのヘッダー値をvalueに置換し、残りの同名ヘッダーは削除します。
for(const [name, value] of headers)-
headersは反復処理可能です。
バリデート(ヘッダー(name, value))をHeadersオブジェクトheadersに対して行うには:
-
headersのガードが"
request"かつ(name, value)が禁止リクエストヘッダーなら、falseを返す。 -
headersのガードが"
response"かつnameが禁止レスポンスヘッダー名なら、falseを返す。 -
trueを返す。
"request-no-cors"の手順は共有されません。なぜならCORS安全リストリクエストヘッダーに対して常に成功する偽の値(delete()用)を持つことができないためです。
追加(ヘッダー(name, value))をHeadersオブジェクトheadersに対して行うには、以下を実行する:
-
valueを正規化する。
-
バリデート(name, value)がheadersでfalseなら、returnする。
-
headersのガードが"
request-no-cors"なら:-
temporaryValueにheadersのheader listからnameを取得した結果を設定する。
-
temporaryValueがnullなら、temporaryValueをvalueに設定する。
-
それ以外の場合、temporaryValueをtemporaryValue+「, 」+valueに設定する。
-
(name, temporaryValue)がno-CORS安全リストリクエストヘッダーでない場合、returnする。
-
-
追加(name, value)をheadersのheader listに対して実行する。
-
headersのガードが"
request-no-cors"なら、特権no-CORSリクエストヘッダーの削除をheadersに対して実行する。
fill(Headersオブジェクトheaders、与えられたオブジェクトobject)は以下を実行する:
特権no-CORSリクエストヘッダーの削除(Headersオブジェクト(headers))は以下を実行する:
-
各headerName(特権no-CORSリクエストヘッダー名)について:
-
削除(headerName)をheadersのheader listに対して実行する。
-
これは、特権のないコードによってヘッダーが変更された時に呼ばれます。
delete(name)メソッドの手順は以下の通りです:
-
バリデート(name, ``)がthisでfalseなら、returnする。
ダミーのヘッダー値を渡しても悪影響はありません。
-
thisのガードが"
request-no-cors"、かつnameがno-CORS安全リストリクエストヘッダー名でも特権no-CORSリクエストヘッダー名でもない場合、returnする。 -
thisのheader listがnameを含まない場合、returnする。
-
削除(name)をthisのheader listに対して実行する。
-
thisのガードが"
request-no-cors"なら、特権no-CORSリクエストヘッダーの削除をthisに対して実行する。
get(name)メソッドの手順は以下の通りです:
-
nameを取得(thisのheader listから)し、その結果を返す。
getSetCookie()メソッドの手順は以下の通りです:
-
thisのheader listが`
Set-Cookie`を含まない場合、« »を返す。 -
値(thisのheader listのうち、nameが`
Set-Cookie`とバイト大文字小文字無視で一致するヘッダー)の値を順序通り返す。
has(name)メソッドの手順は以下の通りです:
-
thisのheader listがnameを含むならtrue、そうでなければfalseを返す。
set(name, value)
メソッドの手順は以下の通りです:
-
valueを正規化する。
-
thisのガードが"
request-no-cors"かつ(name, value)がno-CORS安全リストリクエストヘッダーでない場合、returnする。 -
セット(name, value)をthisのheader listに対して実行する。
-
thisのガードが"
request-no-cors"なら、特権no-CORSリクエストヘッダーの削除をthisに対して実行する。
反復対象の値ペアは、ソートおよび結合(thisのheader list)の実行結果です。
5.2. BodyInit ユニオン型
typedef (Blob or BufferSource or FormData or URLSearchParams or USVString );XMLHttpRequestBodyInit typedef (ReadableStream or XMLHttpRequestBodyInit );BodyInit
安全抽出は、型付きbodyをバイト列またはBodyInitオブジェクトobjectから抽出するための手順です:
-
objectが
ReadableStreamオブジェクトなら: -
extract(object)の結果を返す。
安全抽出操作は、例外を投げないことが保証されるextract操作のサブセットです。
extractは、
型付きbodyをバイト列またはBodyInitオブジェクトobjectから抽出するための手順です。オプションのブール値
keepalive(デフォルトfalse)を受け取ります:
-
streamをnullに設定する。
-
objectが
ReadableStreamオブジェクトなら、streamにobjectを設定する。 -
それ以外でobjectが
Blobオブジェクトなら、streamにobjectのget streamの結果を設定する。 -
それ以外の場合、streamに新しい
ReadableStreamオブジェクトを設定し、 バイト読み取り対応でセットアップする。 -
アサート:streamは
ReadableStreamオブジェクトであること。 -
actionをnullに設定する。
-
sourceをnullに設定する。
-
lengthをnullに設定する。
-
typeをnullに設定する。
-
objectの型によって分岐:
Blob-
sourceにobjectを設定する。
lengthにobjectの
size属性値を設定する。objectの
type属性値が空でなければ、typeにその値を設定する。 - バイト列
-
sourceにobjectを設定する。
BufferSource-
sourceにobjectが保持するバイトのコピーを設定する。
FormData-
actionに次の手順:
multipart/form-dataエンコーディングアルゴリズムをobjectのentry listとUTF-8で実行する、を設定する。sourceにobjectを設定する。
lengthに未確定、詳細は html/6424参照を設定する。
typeに`
multipart/form-data; boundary=`+multipart/form-data境界文字列(multipart/form-dataエンコーディングアルゴリズムで生成)を設定する。 URLSearchParams-
sourceに
application/x-www-form-urlencodedシリアライザ(objectのlistを使う)を実行した結果を設定する。typeに`
application/x-www-form-urlencoded;charset=UTF-8`を設定する。 - スカラー値文字列
-
sourceにUTF-8エンコード(object)の結果を設定する。
typeに`
text/plain;charset=UTF-8`を設定する。 ReadableStream-
keepaliveがtrueなら、TypeError例外を投げる。
-
sourceがバイト列なら、actionに「sourceを返す」手順を設定し、lengthにsourceのlengthを設定する。
-
actionがnullでなければ、以下の手順を並列で実行する:
-
actionを実行する。
バイトが1つ以上利用可能になり、かつstreamがerroredでなければ、enqueue(利用可能なバイトから
Uint8Arrayを生成した結果、stream)を行う。actionが終了したら、close(stream)を行う。
-
-
bodyにbody(stream: stream, source: source, length: length)を設定する。
-
(body, type) を返す。
5.3. Bodyミックスイン
interface mixin {Body readonly attribute ReadableStream ?body ;readonly attribute boolean bodyUsed ; [NewObject ]Promise <ArrayBuffer >arrayBuffer (); [NewObject ]Promise <Blob >blob (); [NewObject ]Promise <Uint8Array >bytes (); [NewObject ]Promise <FormData >formData (); [NewObject ]Promise <any >json (); [NewObject ]Promise <USVString >text (); [NewObject ]ReadableStream textStream (); };
ネットワーク層が依存してほしくない形式、例えばHTMLなどはここで公開されることはありません。そうした形式は、将来的にHTMLパーサAPIがストリームを受け入れるようになる可能性があります。
Bodyインターフェースミックスインを含むオブジェクトは、関連付けられたbody(nullまたはbody)を持ちます。
Body
インターフェースミックスインを含むオブジェクトは、
その body が null でなく、
かつその
body の stream が 乱された または
ロック済み の場合、
使用不可
であると言う。
requestOrResponse . body-
requestOrResponse の本体を
ReadableStreamとして返す。 requestOrResponse . bodyUsed-
requestOrResponse の本体が読み取られたかどうかを返す。
requestOrResponse . arrayBuffer()-
requestOrResponse の本体を
ArrayBufferとして満たされる promise を返す。 requestOrResponse . blob()-
requestOrResponse の本体を
Blobとして満たされる promise を返す。 requestOrResponse . bytes()-
requestOrResponse の本体を
Uint8Arrayとして満たされる promise を返す。 requestOrResponse . formData()-
requestOrResponse の本体を
FormDataとして満たされる promise を返す。 requestOrResponse . json()-
requestOrResponse の本体を JSON として解析したもので満たされる promise を返す。
requestOrResponse . text()-
requestOrResponse の本体を文字列として満たされる promise を返す。
requestOrResponse . textStream()-
ReadableStreamオブジェクトを返し、その中で requestOrResponse の本体は文字列チャンクとして扱われる。
MIMEタイプ取得は、RequestまたはResponseオブジェクトrequestOrResponseに対して以下を実行します:
-
headersをnullに設定する。
-
requestOrResponseが
Requestオブジェクトなら、headersにrequestOrResponseのrequestのheader listを設定する。 -
それ以外の場合、headersにrequestOrResponseのresponseのheader listを設定する。
-
mimeTypeにMIMEタイプ抽出(headers)の結果を設定する。
-
mimeTypeが失敗ならnullを返す。
-
mimeTypeを返す。
consume body
アルゴリズムは、Bodyを含むオブジェクトobjectと、バイト列を受け取りJavaScript値を返す(または例外を投げる)アルゴリズムconvertBytesToJSValueを受け取り、以下を実行します:
-
objectが使用不可なら、TypeErrorでrejectされたpromiseを返す。
-
promiseに新しいpromiseを設定する。
- errorSteps(error)にpromiseをerrorでrejectする手順を設定する。
- successSteps(バイト列data)にpromiseをconvertBytesToJSValue(data)の結果でresolveする手順(例外ならerrorStepsを実行)を設定する。
-
それ以外なら、完全に読み取る(objectのbody、successSteps、errorSteps、objectの関連グローバルオブジェクト)を実行する。
-
promiseを返す。
arrayBuffer() メソッドのステップは、consume body を this
で実行し、次のステップで指定される バイト列 bytes を受け取った場合: this の
relevant realm で bytes から ArrayBuffer
を生成する処理の結果を返す。
上記のメソッドは RangeError
によりリジェクトされる場合がある。
blob() メソッドのステップは、consume body を this
で実行し、次のステップで指定される バイト列 bytes を受け取った場合:内容が bytes であり、その type
属性が this で
MIME タイプを取得 した結果である Blob
を返す。
bytes() メソッドのステップは、consume body を this
で実行し、次のステップで指定される
バイト列 bytes を受け取った場合: this の relevant realm で bytes から Uint8Array
を生成する処理の結果を返す。
上記のメソッドは RangeError
によりリジェクトされる場合がある。
formData() メソッドのステップは、consume body を this
で実行し、次のステップで指定される
バイト列 bytes を受け取った場合:
-
mimeType を this で MIME タイプを取得 した結果とする。
-
mimeType が null でなければ、その mimeType の エッセンス により次の処理に分岐して実行:
- "
multipart/form-data" -
-
bytes を mimeType の `
boundary` パラメータ値を用いて Returning Values from Forms: multipart/form-data にしたがってパースする。 [RFC7578]`
Content-Disposition` ヘッダーに `filename` パラメータが含まれる各パートは、 その内容を値とし entry にパースする。その値は内容であり、Fileオブジェクトとして生成される。name属性はそのパートの `filename` パラメータの値とし、type属性はそのパートの `Content-Type` ヘッダーの値(ヘッダーがなければ `text/plain`)にする。`
Content-Disposition` ヘッダーに `filename` パラメータが 含まれない各パートは、その内容を UTF-8(BOMなしで)でデコードして entry にパースする。 これは `Content-Type` ヘッダーや `charset` パラメータの有無や値にかかわらず行われる。`
Content-Disposition` ヘッダーの `name` パラメータ値が `_charset_` であっても 他と同様にパースされ、エンコーディングの変更にはならない。 -
なんらかの理由で失敗した場合は TypeError をスローする。
-
パース結果のすべての entry を entry list に追加して 新しい
FormDataオブジェクトを返す。
上記は `
multipart/form-data` 向けの大まかな記述であり、 より詳細なパース仕様は今後記載される予定。 ボランティア歓迎。 -
- "
application/x-www-form-urlencoded" -
-
entries を、bytes をパースした結果とする。
-
entries を entry list とした 新しい
FormDataオブジェクトを返す。
-
- "
-
TypeError をスローする。
json() メソッドのステップは、consume body を this で実行し、
bytes から JSON をパース する。
上記メソッドは SyntaxError
でリジェクトされる場合がある。
text() メソッドのステップは、consume body を this で実行し、
UTF-8 デコード する。
textStream() メソッドの手順は次のとおりです:
-
this の body が null である場合:
-
emptyStream を、this の 関連レルム における新しい
ReadableStreamとする。 -
emptyStream を 設定する。
-
emptyStream を 閉じる。
-
emptyStream を返す。
-
-
decoder を、this の 関連レルム における新しい
TextDecoderStreamオブジェクトとする。 -
これは、`
Content-Type` ヘッダーの有無や値に関係なく、 また `charset` パラメーターの有無や値に関係なく行われる。 -
stream を decoder に パイプスルー した結果を返す。
5.4. Requestクラス
typedef (Request or USVString ); [RequestInfo Exposed =(Window ,Worker )]interface {Request constructor (RequestInfo ,input optional RequestInit = {});init readonly attribute ByteString method ;readonly attribute USVString url ; [SameObject ]readonly attribute Headers headers ;readonly attribute RequestDestination destination ;readonly attribute USVString referrer ;readonly attribute ReferrerPolicy referrerPolicy ;readonly attribute RequestMode mode ;readonly attribute RequestCredentials credentials ;readonly attribute RequestCache cache ;readonly attribute RequestRedirect redirect ;readonly attribute DOMString integrity ;readonly attribute boolean keepalive ;readonly attribute boolean isReloadNavigation ;readonly attribute boolean isHistoryNavigation ;readonly attribute AbortSignal signal ;readonly attribute RequestDuplex duplex ; [NewObject ]Request clone (); };Request includes Body ;dictionary {RequestInit ByteString ;method HeadersInit ;headers BodyInit ?;body USVString ;referrer ReferrerPolicy ;referrerPolicy RequestMode ;mode RequestCredentials ;credentials RequestCache ;cache RequestRedirect ;redirect DOMString ;integrity boolean ;keepalive AbortSignal ?;signal RequestDuplex ;duplex RequestPriority ;priority any ; // can only be set to null };window enum {RequestDestination ,"" ,"audio" ,"audioworklet" ,"document" ,"embed" ,"font" ,"frame" ,"iframe" ,"image" ,"json" ,"manifest" ,"object" ,"paintworklet" ,"report" ,"script" ,"sharedworker" ,"style" ,"text" ,"track" ,"video" ,"worker" };"xslt" enum {RequestMode ,"navigate" ,"same-origin" ,"no-cors" };"cors" enum {RequestCredentials ,"omit" ,"same-origin" };"include" enum {RequestCache ,"default" ,"no-store" ,"reload" ,"no-cache" ,"force-cache" };"only-if-cached" enum {RequestRedirect ,"follow" ,"error" };"manual" enum {RequestDuplex };"half" enum {RequestPriority ,"high" ,"low" };"auto"
"serviceworker" は、
RequestDestination から省略されています。なぜなら、これは JavaScript
から観測できないためです。実装は、destination としてサポートする必要がありますが、"websocket"
および
"webtransport" は、RequestMode から省略されています。なぜなら、これらも JavaScript
から使用または観測することができないためです。
Requestオブジェクトには関連付けられたrequest(request)があります。
Requestオブジェクトには、関連付けられたheaders(nullまたはHeadersオブジェクト、初期値はnull)があります。
Requestオブジェクトには、関連付けられたsignal(nullまたはAbortSignalオブジェクト、初期値はnull)があります。
Requestオブジェクトのbodyは、そのrequestのbodyです。
request = new Request(input [, init])-
新しい request を返します。その
urlプロパティは、 input が文字列の場合は input、input がRequestオブジェクトの場合は そのurlとなります。init 引数は、以下のようなプロパティを持つオブジェクトです:
method-
request の
methodを設定する文字列。 headers-
Headersオブジェクト、オブジェクトリテラル、または2要素配列の配列で request のheadersを設定。 body-
BodyInitオブジェクトまたは null を指定して request の body を設定。 referrer-
同一オリジンのURL、"
about:client"、または空文字列を指定し、request の referrer を設定。 referrerPolicy-
referrer policy を指定し、request の
referrerPolicyを設定。 mode-
CORS を使うか同一オリジンURLに限定するかを示す文字列を指定。
request の
modeを設定。 input が文字列の場合はデフォルトで "cors" です。 credentials-
クレデンシャルを常に/絶対に送信しない/同一オリジン時のみ送信するか(またレスポンスで受信したクレデンシャルを使うか)を示す文字列を指定。
request の
credentialsを設定。 input が文字列の場合はデフォルトで "same-origin" です。 cache-
フェッチ時にリクエストがブラウザキャッシュとどう連携するかを示す文字列で
request の
cacheを設定。 redirect-
リダイレクトを追随するか・エラーとするか・不透明で返すかを示す文字列で
request の
redirectを設定。 integrity-
request で取得するリソースの暗号学的ハッシュ値を指定し、request の
integrityを設定。 keepalive-
真偽値で request の
keepaliveを設定。 signal-
AbortSignalを指定して request のsignalを設定。 window-
null のみ指定可。request を任意の
Windowから切り離す用途。 duplex-
"
half" のみ有効で、ハーフデュプレックス(リクエスト全体を送信後にレスポンスを処理)フェッチを行うための値。 "full" は将来のフルデュプレックスフェッチ用途で予約済み(リクエスト送信中にもレスポンス処理可)。bodyがReadableStreamの場合はこれを指定。 "full" の定義は issue #1254 参照。 priority- request の priority を設定する文字列。
request . method-
request の HTTP メソッドを返します。デフォルトは "
GET" です。 request . url- request の URL を文字列で返します。
request . headers-
request に紐づく
Headersオブジェクトを返します。 ユーザーエージェントがネットワーク層で追加するヘッダー(例:"Host" ヘッダーなど)はこのオブジェクトには含まれません。 request . destination- request が要求するリソース種別を返します(例:"document" や "script")。
request . referrer- request のリファラーを返します。 値は init で明示的に設定した同一オリジンURL、リファラーなしの場合は空文字列、デフォルト時は "about:client" となります。 これはフェッチ実行時の Referer ヘッダー値決定に用いられます。
request . referrerPolicy- request に紐付けられた referrer policy を返します。フェッチ時のリファラー計算に使用されます。
request . mode- request に紐付けられた mode を返します。CORS 利用有無や同一オリジン限定かを示す文字列です。
request . credentials- request に紐付けられた credentials mode を返します。クレデンシャル送信有無・条件を表す文字列です。
request . cache- request の cache mode を返します。フェッチ時のキャッシュ連携方法を示す文字列です。
request . redirect- request に関連付けられた リダイレクトモード を返す。 これはリクエストのリダイレクトがフェッチ中にどう扱われるかを示す文字列である。 リクエスト は デフォルトでリダイレクトに従う。
request . integrity- request のサブリソースインテグリティ(取得リソースの暗号学的ハッシュ値)を返します。 値はスペース区切りで複数のハッシュを持つことがあります。[SRI]
request . keepalive- request が作成元のグローバルより長生きできるかどうかの真偽値を返します。
request . isReloadNavigation- request がリロードナビゲーション用か否かの真偽値を返します。
request . isHistoryNavigation- request が履歴ナビゲーション用か(いわゆる戻る/進む)かの真偽値を返します。
request . signal-
request に紐付けられた
AbortSignalオブジェクトを返し、それに abort 済みか、および abort イベントハンドラも含みます。 request . duplex-
"
half" を返します。これは「ハーフデュプレックス」(リクエスト全体を先に送り、その後レスポンスを処理)であることを示します。 将来は "full"(リクエスト送信中にレスポンス処理可能)も返し得ます。"full" の定義は issue #1254 参照。 request . clone()-
request のクローンを返します。
Requestオブジェクトの作成は、Request
オブジェクトを、request
request、headers
guard guard、
AbortSignal
オブジェクトsignal、realm realmを指定して次の手順で作成します:
-
requestObjectのrequestをrequestに設定する。
-
requestObjectのheadersを、realmで新しい
Headersオブジェクト(headers listはrequestのheaders list、guardはguard)に設定する。 -
requestObjectのsignalをsignalに設定する。
-
requestObjectを返す。
new Request(input, init)
コンストラクターの手順は次のとおりです:
-
request を null とする。
-
fallbackMode を null とする。
-
baseURL を、this の 関連設定オブジェクト の API ベース URL とする。
-
signal を null とする。
-
input が文字列である場合:
-
そうでなければ:
-
origin を、this の 関連設定オブジェクト の origin とする。
-
traversableForUserPrompts を "
client" とする。 -
request の ユーザープロンプト用の traversable が 環境設定オブジェクト であり、かつその origin が origin と 同一オリジンである場合、traversableForUserPrompts を request の ユーザープロンプト用の traversable に設定する。
-
init["
window"] が存在する場合、 traversableForUserPrompts を "no-traversable" に設定する。 -
request を、次のプロパティを持つ新しい request に設定する:
- URL
- request の URL。
- method
- request の method。
- header list
- request の header list のコピー。
- unsafe-request flag
- 設定済み。
- client
- This の 関連設定オブジェクト。
- traversable for user prompts
- traversableForUserPrompts。
- internal priority
- request の internal priority。
- origin
- request の origin。 origin の伝播は、サービスワーカーによって処理される ナビゲーションリクエストに対してのみ重要である。このシナリオでは、リクエストは現在の client とは異なる origin を持つことがある。
- referrer
- request の referrer。
- referrer policy
- request の referrer policy。
- mode
- request の mode。
- credentials mode
- request の credentials mode。
- cache mode
- request の cache mode。
- redirect mode
- request の redirect mode。
- integrity metadata
- request の integrity metadata。
- keepalive
- request の keepalive。
- reload-navigation flag
- request の reload-navigation flag。
- history-navigation flag
- request の history-navigation flag。
- URL list
- request の URL list の クローン。
- initiator type
- "
fetch"。
-
init が空でない場合:
-
request の mode が "
navigate" である場合、それを "same-origin" に設定する。 -
request の reload-navigation flag を解除する。
-
request の history-navigation flag を解除する。
-
request の origin を "
client" に設定する。 -
request の referrer を "
client" に設定する。 -
request の referrer policy を空文字列に設定する。
-
request の URL を request の current URL に設定する。
これは、サービスワーカーが、たとえばクロスオリジンのスタイルシート内の 画像からのリクエストを「リダイレクト」し、変更を加えたときに、それがもはや元のソース (すなわちクロスオリジンのスタイルシート)から来たようには見えず、代わりにそのリクエストを 「リダイレクト」したサービスワーカーから来たように見えるようにするために行われる。 元のソースは、サービスワーカーと同じ種類のリクエストすら生成できない可能性があるため、 これは重要である。したがって、これが行われなければ、元のソースを信頼するサービスが 悪用される可能性がある。ただし、それはいくぶん考えにくい。
-
-
-
referrer を init["
referrer"] とする。 -
referrer が空文字列である場合、request の referrer を "
no-referrer" に設定する。 -
そうでなければ:
-
-
init["
referrerPolicy"] が存在する場合、request の referrer policy をそれに設定する。 -
mode が null でない場合、request の mode を mode に設定する。
-
init["
credentials"] が存在する場合、 request の credentials mode をそれに設定する。 -
init["
cache"] が存在する場合、 request の cache mode をそれに設定する。 -
request の cache mode が "
only-if-cached" であり、かつ request の mode が "same-origin" でない場合、TypeErrorを投げる。 -
init["
redirect"] が存在する場合、 request の redirect mode をそれに設定する。 -
init["
integrity"] が存在する場合、 request の integrity metadata をそれに設定する。 -
-
request の internal priority が null でない場合、 request の internal priority を 実装定義の方法で更新する。
-
-
signals を、signal が null でない場合は « signal » とし、 そうでなければ « » とする。
-
this の signal を、signals から 依存 abort signal を作成する結果に設定する。 その際、
AbortSignalおよび this の 関連レルム を用いる。 -
this の headers を、 this の 関連レルムを持つ新しい
Headersオブジェクトに設定する。その header list は request の header list であり、guard は "request" である。 -
init が空でない場合:
ヘッダーは、この mode では許可されないヘッダーを含む可能性があるため サニタイズされる。そうでなければ、それらは以前にサニタイズ済みであるか、特権 API によって 設定されて以降変更されていない。
-
inputBody を、input が
Requestオブジェクトである場合は input の request の body とし、そうでなければ null とする。 -
init["
body"] が存在するかつ null でない、または inputBody が null でない、のいずれかであり、かつ request の method が `GET` または `HEAD` である場合、TypeErrorを投げる。 -
initBody を null とする。
-
inputOrInitBody を、initBody が null でない場合は initBody とし、そうでなければ inputBody とする。
-
inputOrInitBody が null でなく、かつ inputOrInitBody の source が null である場合:
-
finalBody を inputOrInitBody とする。
-
initBody が null であり、かつ inputBody が null でない場合:
method getter の手順は、this の
request の
method
を返すことである。
url getter の手順は、this の
request の
URL を、シリアライズして返すことである。
headers getter の手順は、
this の headers を返すことである。
destination getter の手順は、this の
request の
destination を返すことである。
referrer getter の手順は次のとおりである:
referrerPolicy getter の手順は、
this の request
の referrer
policy を返すことである。
mode getter の手順は、this の
request の
mode を返すことである。
credentials getter の手順は、
this の request
の credentials
mode を返すことである。
cache getter の手順は、this の
request の
cache
mode を返すことである。
redirect getter の手順は、
this の request
の redirect mode を返すことである。
integrity getter の手順は、
this の request
の integrity
metadata を返すことである。
keepalive getter の手順は、
this の request
の keepalive
を返すことである。
isReloadNavigation getter の手順は、
this の
request の
reload-navigation flag が設定されている場合は
true を返し、そうでなければ false を返すことである。
isHistoryNavigation getter の手順は、
this の
request の
history-navigation flag が
設定されている場合は true を返し、そうでなければ false を返すことである。
signal getter の手順は、this の
signal を返すことである。
This の signal は常に コンストラクターおよび クローン作成時に初期化される。
duplex getter の手順は、
"half" を返すことである。
clone() メソッドの手順は次のとおりである:
5.5. Responseクラス
[Exposed =(Window ,Worker )]interface {Response constructor (optional BodyInit ?=body null ,optional ResponseInit = {}); [init NewObject ]static Response error (); [NewObject ]static Response redirect (USVString ,url optional unsigned short = 302); [status NewObject ]static Response json (any ,data optional ResponseInit = {});init readonly attribute ResponseType type ;readonly attribute USVString url ;readonly attribute boolean redirected ;readonly attribute unsigned short status ;readonly attribute boolean ok ;readonly attribute ByteString statusText ; [SameObject ]readonly attribute Headers headers ; [NewObject ]Response clone (); };Response includes Body ;dictionary {ResponseInit unsigned short = 200;status ByteString = "";statusText HeadersInit ; };headers enum {ResponseType ,"basic" ,"cors" ,"default" ,"error" ,"opaque" };"opaqueredirect"
Response
オブジェクトは、関連付けられた
response(
response)を持つ。
Response
オブジェクトはまた、関連付けられた headers(null または
Headers
オブジェクト)を持ち、
初期値は null である。
Response
オブジェクトの body は、その
response の body である。
response = new Response(body = null [, init])-
本体が body であり、status、status message、および headers が init によって与えられる
Responseを作成する。 response = Response . error()-
ネットワークエラー
Responseを作成する。 response = Response . redirect(url, status = 302)-
status で url へリダイレクトするリダイレクト
Responseを作成する。 response = Response . json(data [, init])-
本体が JSON エンコードされた data であり、status、status message、および headers が init によって与えられる
Responseを作成する。 response . type-
response の type、たとえば "
cors" を返す。 response . url-
response が URL を持つ場合はその URL を返し、そうでなければ空文字列を返す。
response . redirected-
response がリダイレクトを通じて取得されたかどうかを返す。
response . status-
response の status を返す。
response . ok-
response の status が ok status であるかどうかを返す。
response . statusText-
response の status message を返す。
response . headers-
response の headers を
Headersとして返す。 response . clone()-
response のクローンを返す。
response
response、headers
guard guard、および
realm
realm が与えられたとき、Response
オブジェクトを 作成するには、次の手順を実行する:
-
responseObject の response を response に設定する。
-
responseObject の headers を、realm を持つ 新しい
Headersオブジェクトに設定する。その headers list は response の headers list であり、guard は guard である。 -
responseObject を返す。
Response
オブジェクト response、
ResponseInit
init、および null または body with type body が与えられたとき、
response
を初期化するには:
-
init["
status"] が 200 から 599 までの範囲(両端を含む)にない場合、RangeErrorを 投げる。 -
init["
statusText"] が空文字列ではなく、かつ reason-phrase トークン生成規則に一致しない場合、TypeErrorを 投げる。 -
response の response の status message を init["
statusText"] に設定する。 -
init["
headers"] が存在する場合、 response の headers を init["headers"] で 埋める。 -
body が null でない場合:
-
response の status が null body status である場合、
TypeErrorを 投げる。101 と 103 は、他の場所で使用されるため null body status に含まれる。 それらはこの手順には影響しない。
-
body の type が null でなく、かつ response の header list が `
Content-Type` を含まない場合、 (`Content-Type`, body の type) を response の header list に 追加する。
-
new Response(body, init)
コンストラクターの手順は次のとおりである:
-
this の headers を、 this の 関連レルムを持つ 新しい
Headersオブジェクトに設定する。その header list は this の response の header list であり、guard は "response" である。 -
bodyWithType を null とする。
-
body が null でない場合、bodyWithType を body を抽出する結果に設定する。
-
this、init、 および bodyWithType が与えられたうえで、 response を初期化するを実行する。
静的 error() メソッドの手順は、新しい network error、
"immutable"、および current realm が与えられたうえで、Response オブジェクトを
作成する結果を返すことである。
静的
redirect(url, status) メソッドの
手順は
次のとおりである:
-
parsedURL を、 current settings object の API base URL を用いて url を解析する結果とする。
-
status が redirect status でない場合、
RangeErrorを 投げる。 -
responseObject を、新しい response、"
immutable"、および current realm が与えられたうえで、Responseオブジェクトを作成する結果とする。 -
(`
Location`, value) を responseObject の response の header list に追加する。 -
responseObject を返す。
静的
json(data, init) メソッドの手順は
次のとおりである:
-
bytes を、data に対して JavaScript 値を JSON バイト列へシリアライズするを実行した結果とする。
-
body を、bytes を抽出する結果とする。
-
responseObject を、新しい response、"
response"、および current realm が与えられたうえで、Responseオブジェクトを作成する結果とする。 -
responseObject、init、および (body, "
application/json") が与えられたうえで、 response を初期化するを実行する。 -
responseObject を返す。
type getter の手順は、this の
response の type を返すことである。
url getter の手順は、
this の response の URL が null である場合は空文字列を返し、
そうでなければ this の
response の URL を、
exclude fragment を
true に設定して
シリアライズして返すことである。
redirected getter の手順は、
this の response の URL list の size が
1 より大きい場合は true を返し、そうでなければ false を返すことである。
リダイレクトの結果である responses を除外するには、
これを直接 API を通じて行う。たとえば fetch(url, { redirect:"error" }) である。
このようにすれば、潜在的に安全でない response が誤って漏洩することはない。
status getter の手順は、
this の response の status を返すことである。
ok getter の手順は、
this の response の status が ok status である場合は true を返し、
そうでなければ false を返すことである。
statusText getter の手順は、
this の response の status
message を返すことである。
headers getter の手順は、
this の headers を返すことである。
clone() メソッドの手順は次のとおりである:
5.6. Fetchメソッド
partial interface mixin WindowOrWorkerGlobalScope { [NewObject ]Promise <Response >fetch (RequestInfo ,input optional RequestInit = {}); };init dictionary :DeferredRequestInit RequestInit {DOMHighResTimeStamp ; }; [activateAfter Exposed =Window ]interface {FetchLaterResult readonly attribute boolean activated ; };partial interface Window { [NewObject ,SecureContext ]FetchLaterResult fetchLater (RequestInfo ,input optional DeferredRequestInit = {}); };init
fetch(input, init)
メソッドの手順は次のとおりである:
-
p を 新しい promise とする。
-
requestObject を、
Requestの初期値を、input と init を引数として コンストラクターとして呼び出した結果とする。これが例外を投げる場合、 p をそれで拒否し、p を返す。 -
request を requestObject の request とする。
-
requestObject の signal が 中止済みである場合:
-
p、request、null、および requestObject の signal の abort reason で、
fetch()呼び出しを中止する。 -
p を返す。
-
- globalObject を、request の client の global object とする。
- globalObject が
ServiceWorkerGlobalScopeオブジェクトである場合、 request の service-workers mode を "none" に設定する。 -
responseObject を null とする。
-
locallyAborted を false とする。
これにより、中止要求が fetch の呼び出しと同じスレッドから来る場合に、 予測可能なタイミングで promise を拒否できる。
-
controller を null とする。
-
requestObject の signal に、 次の中止手順を追加する:
-
locallyAborted を true に設定する。
-
表明: controller は null でない。
-
requestObject の signal の abort reason で、 controller を中止する。
-
p、request、 responseObject、および requestObject の signal の abort reason で、
fetch()呼び出しを中止する。
-
-
controller を、request および response が与えられた processResponse を次の手順として、 fetch を呼び出した結果に設定する:
-
locallyAborted が true である場合、これらの手順を中止する。
-
response の aborted flag が設定されている場合:
-
deserializedError を、controller の serialized abort reason と relevantRealm が与えられたうえで、 serialized abort reason を逆シリアライズする結果とする。
-
p、request、 responseObject、および deserializedError で、
fetch()呼び出しを中止する。 -
これらの手順を中止する。
-
-
response が network error である場合、p を
TypeErrorで拒否し、 これらの手順を中止する。 -
responseObject を、response、"
immutable"、および relevantRealm が与えられたうえで、Responseオブジェクトを作成する結果に設定する。 -
p を responseObject で解決する。
-
-
p を返す。
promise、request、responseObject、および error で
fetch() 呼び出しを中止するには:
FetchLaterResult
は、関連付けられた activated getter steps を持ち、
これは boolean を返すアルゴリズムである。
activated getter の手順は、
this の activated getter steps を実行した結果を
返すことである。
fetchLater(input, init)
メソッドの手順は次のとおりである:
-
requestObject を、
Requestの初期値を、input と init を引数として コンストラクターとして呼び出した結果とする。 -
requestObject の signal が 中止済みである場合、 signal の abort reason を投げる。
-
request を requestObject の request とする。
-
activateAfter を null とする。
-
init が与えられており、かつ init["
activateAfter"] が存在する場合、activateAfter を init["activateAfter"] に設定する。 -
activateAfter が 0 未満である場合、
RangeErrorを投げる。 -
this の 関連グローバルオブジェクト の 関連付けられた document が 完全にアクティブでない場合、
TypeErrorを投げる。 -
request の URL の scheme が HTTP(S) scheme でない場合、
TypeErrorを投げる。 -
request の URL が 潜在的に信頼できる URL でない場合、
TypeErrorを投げる。 -
request の body が null でなく、かつ request の body の length が null である場合、
TypeErrorを投げる。body が
ReadableStreamオブジェクトであるリクエストは、 遅延できない。 -
quota を、request の client および request の URL の origin が与えられたうえで、 利用可能な deferred-fetch quota とする。
-
requested を request の total request length とする。
-
quota が requested より小さい場合、 quota が quota であり、requested が requested である
QuotaExceededErrorを投げる。 -
activated を false とする。
-
deferredRecord を、request、activateAfter、および 次の手順: activated を true に設定する、が与えられたうえで、 deferred fetch をキューに入れるを呼び出した結果とする。
-
requestObject の signal に 次の中止手順を追加する: deferredRecord の invoke state を "
aborted" に設定する。 -
activated getter steps が activated を返すものである新しい
FetchLaterResultを返す。
次の呼び出しは、ドキュメントが終了したときにフェッチされるリクエストをキューします:
fetchLater( "https://report.example.com" , {
method: "POST" ,
body: JSON. stringify( myReport),
headers: { "Content-Type" : "application/json" }
})
次の呼び出しは5秒後にこのリクエストをキューし、返された値で本当にアクティベートされたかどうか確認できます。ユーザーエージェントがタイマーをスロットルしても、リクエストは必ず実行されます。
const result = fetchLater( "https://report.example.com" , {
method: "POST" ,
body: JSON. stringify( myReport),
headers: { "Content-Type" : "application/json" },
activateAfter: 5000
});
function check_if_fetched() {
return result. activated;
}
FetchLaterResultオブジェクトはAbortSignalと組み合わせて使うこともできます。例えば:
let accumulated_events = [];
let previous_result = null ;
const abort_signal = new AbortSignal();
function accumulate_event( event) {
if ( previous_result) {
if ( previous_result. activated) {
// リクエストは既にアクティベートされているので、新しく始められます。
accumulated_events = [];
} else {
// このリクエストをabortして、すべてのイベントで新規リクエストを開始します。
signal. abort();
}
}
accumulated_events. push( event);
result = fetchLater( "https://report.example.com" , {
method: "POST" ,
body: JSON. stringify( accumulated_events),
headers: { "Content-Type" : "application/json" },
activateAfter: 5000 ,
abort_signal
});
}
以下のいずれかのfetchLater()呼び出しは例外が投げられます:
// potentially trustworthy URLのみサポート
fetchLater( "http://untrusted.example.com" );
// deferredリクエストの長さは事前に分かっている必要があります。
fetchLater( "https://origin.example.com" , { body: someDynamicStream});
// deferred fetchはactiveなwindowでのみ動作します。
const detachedWindow = iframe. contentWindow;
iframe. remove();
detachedWindow. fetchLater( "https://origin.example.com" );
5.7. ガベージコレクション
ユーザーエージェントは、スクリプトから観測できない場合、進行中のfetchを終了してもよい。
「スクリプトから観測できる」とは、fetch()
の引数と戻り値で観測できることを意味します。それ以外の方法(サーバーとのサイドチャネル通信など)は含みません。
サーバーがガベージコレクションを観測できる例は既に存在します。例えば
WebSocket
や XMLHttpRequest
オブジェクトなどです。
ユーザーエージェントは、終了が観測できないためfetchを終了できる。
fetch("https://www.example.com/")
ユーザーエージェントは、promise経由で終了が観測できるためfetchを終了できない。
window.promise = fetch("https://www.example.com/")
関連するbodyが観測できないため、ユーザーエージェントはfetchを終了できる。
window.promise = fetch("https://www.example.com/").then(res => res.headers)
終了が観測できないため、ユーザーエージェントはfetchを終了できる。
fetch("https://www.example.com/").then(res => res.body.getReader().closed)
promiseオブジェクトにハンドラを登録することで、終了が観測できるためユーザーエージェントはfetchを終了できない。
window.promise = fetch("https://www.example.com/")
.then(res => res.body.getReader().closed)
登録されたハンドラで終了が観測できるため、ユーザーエージェントはfetchを終了できない。
fetch("https://www.example.com/")
.then(res => {
res.body.getReader().closed.then(() => console.log("stream closed!"))
})
(上記の非観測性の例は、組み込みプロパティや関数(body.getReader()など)が上書きされていないことを前提としています。)
6. data: URL
data: URL についての参考情報は RFC 2397 を参照のこと。この節は、実際にデプロイ済みのコンテンツとの互換性を保つために、同 RFC の規範的な処理要件を置き換える。[RFC2397]
data: URL
構造体とは、以下からなる構造体である:
MIME タイプ(MIME タイプ)、および
body(バイト列)。
data:
URL処理は、URL
dataURL を受け取り、次の手順を実行する:
-
input を、URLシリアライザを dataURL に対し、フラグメント除外 を true 指定で実行した結果とする。
-
input から先頭の "
data:" を取り除く。 -
position を input の先頭を指すようにする。
-
mimeType を、U+002C(,)でないコードポイントの連続 を position から収集したものとする。
-
mimeType の前後の ASCII 空白 を取り除く。
ここで削除されるのは、U+0020 SPACE コードポイント のみである。
-
position が input の末尾を超えていたら、失敗を返す。
-
position を1だけ進める。
-
encodedBody を input の残り全体とする。
-
body を encodedBody のパーセントデコード とする。
-
もし mimeType が U+003B(;)で終わり、続けて0個以上のU+0020 SPACE、その後に "
base64"(ASCII大文字小文字無視で判定)があれば、以下を行う:-
stringBody を body のアイソモーフィックデコード とする。
-
body を stringBody の forgiving-base64 decode の結果にする。
-
body が失敗なら、失敗を返す。
-
mimeType の末尾6つのコードポイント を削除する。
-
mimeType 末尾から U+0020 SPACE コードポイント を(もしあれば)取り除く。
-
mimeType 末尾の U+003B(;)を一つ取り除く。
-
-
もし mimeType が "
;" で始まるなら、"text/plain" を先頭に付加する。 -
mimeTypeRecord を mimeType のパース 結果とする。
-
mimeTypeRecord が失敗なら、
text/plain;charset=US-ASCIIに設定する。 -
data:URL 構造体を生成して返す。MIME タイプは mimeTypeRecord、bodyは body。
参考文献
このセクションおよびその下位セクションは参考情報のみです。
HTTPヘッダー階層の区分
fetchにおいては、API層(HTMLのimg、CSSのbackground-image)、早期fetch層、Service
Worker層、ネットワーク&キャッシュ層があります。`Accept`や`Accept-Language`は早期fetch層(通常はユーザーエージェントが設定)で扱われます。他のほとんどのユーザーエージェント制御ヘッダー(`Accept-Encoding`、`Host`、`Referer`など)はネットワーク&キャッシュ層で設定されます。開発者はAPI層またはService
Worker層(通常はRequestオブジェクト経由)でヘッダーを設定できます。
禁止リクエストヘッダーはほぼ制御できませんが、`Accept`は制御でき、例えば`Referer`は省略・制限できます。
HTTPリダイレクトのアトミックな取り扱い
リダイレクト(response の status または internal response(もしあれば)の status が リダイレクトステータスの場合)は、APIに公開されません。 リダイレクトを公開すると、クロスサイトスクリプティング攻撃などでは取得できない情報が漏れる可能性があります。
例えばhttps://example.org/authに対するfetchで、HttpOnly付きのCookieが含まれている場合、https://other-origin.invalid/4af955781ea1c84a3b11にリダイレクトされる可能性があります。この新しいURLには秘密情報が含まれています。リダイレクトを公開すれば、その秘密がクロスサイトスクリプティング攻撃で取得されてしまいます。
CORSプロトコルの安全な基本設定
IP認証やファイアウォールによってデータが保護されているリソース(残念ながら現在も比較的多い)では、CORSプロトコルの使用は安全ではありません。(このためCORSプロトコルが考案されました。)
しかし、下記のようなヘッダーの使用は安全です:
Access-Control-Allow-Origin: *
リソースがCookieやHTTP認証で追加情報を公開している場合でも、上記のヘッダーを使ってもそれが漏れることはありません。API(XMLHttpRequestなど)にリソースを共有できます。
これはcurlやwgetと同様です。
言い換えれば、リソースがWeb上の任意のデバイスからcurlやwgetでアクセスできない場合、上記のヘッダーは含めるべきではありません。アクセスできる場合は問題ありません。
CORSプロトコルとHTTPキャッシュ
CORSプロトコルの要件が、
`Access-Control-Allow-Origin` を
* または静的な
オリジンに設定するより複雑である場合、`Vary` を使用することになる。
[HTML] [HTTP] [HTTP-CACHING]
Vary: Origin
特に、`Vary` が使用されず、サーバーが特定のリソースについて
CORS
リクエストへの応答でのみ `Access-Control-Allow-Origin` を送信するよう
構成されている場合に何が起こるかを考える。ユーザーエージェントがそのリソースに対する
非CORSリクエストへの
レスポンスを受け取った場合(たとえば、ナビゲーション
リクエストの結果として)、そのレスポンスには `Access-Control-Allow-Origin` が
欠落し、ユーザーエージェントはそのレスポンスをキャッシュする。その後、ユーザーエージェントがそのリソースに対する
CORSリクエストに遭遇すると、
以前の非CORSリクエストからの
そのキャッシュ済みレスポンスを、`Access-Control-Allow-Origin` なしで使用する。
しかし、上記と同じシナリオで `Vary: Origin` が使用されている場合、それにより
ユーザーエージェントは、`Access-Control-Allow-Origin` を含む
レスポンスをfetchすることになる。
つまり、`Access-Control-Allow-Origin` を欠く
以前の非CORS
リクエストからのキャッシュ済みレスポンスを使用するのではない。
しかし、特定のリソースについて `Access-Control-Allow-Origin` が
* または静的なオリジンに設定されている場合は、そのリソースに対する
レスポンスでは常に `Access-Control-Allow-Origin` を送信するよう
サーバーを構成すること — 非CORS
リクエストに対してもCORS
リクエストに対しても — そして `Vary` を使用しないこと。
WebSocket
接続を確立する過程で、WebSocket
オブジェクトは特殊な種類の
フェッチ(request の mode が "websocket"
であるリクエストを使う)を開始します。これにより、多くのフェッチポリシーの判断(例えば HTTP Strict Transport Security (HSTS)
など)を共有できます。最終的に、フェッチは WebSockets に呼び出され、専用の接続を取得することになります。[WEBSOCKETS]
[HSTS]
フェッチは以前、WebSocket の接続を取得するや WebSocket 接続を確立する を直接定義していましたが、現在はどちらも WebSockets で定義されています。[WEBSOCKETS]
他の標準での fetch の利用
本質的に フェッチは request と response の交換です。実際には、標準で正しく採用・利用するにはかなり複雑な仕組みです。この節ではそのための助言を提供します。
必ずドメインの専門家にレビューを依頼してください。
この仕様は作業中です。
リクエストの準備
フェッチの最初のステップは、 リクエストを作成し、 その各項目を埋めることである。
リクエストのURLおよびmethodを設定することから始める。
これはHTTPで定義されている。`POST` または `PUT` のリクエストが
bodyを必要とする場合、リクエストの
bodyをバイト列、または
自分が作成した
ReadableStream
をstreamとする
新しいbodyに設定する。[HTTP]
destination表の指針を用いて、自分のリクエストのdestinationを選ぶ。Destinationsは
Content Security Policyに影響し、
`Sec-Fetch-Dest`
ヘッダーなどの他の含意も持つため、単なる情報提供用メタデータをはるかに超えるものである。新しい機能が
destinationを必要とし、それがdestination表にない場合は、
議論するために
issueを
提出
してほしい。[CSP]
自分のリクエストのclientを、
自分が動作している
環境設定オブジェクトに設定する。
Webに公開されるAPIは一般に
Web IDLで定義され、そこではinterfaceを実装するすべてのオブジェクトが、
使用できる関連設定オブジェクトを持つ。たとえば、
要素に関連付けられたリクエストは、
そのリクエストのclientを、要素の
node documentの関連設定オブジェクトに設定することになる。JavaScript、HTML、CSS、または他のDocument
サブリソースによって直接Webに公開されるすべての機能は、
clientを持つべきである。
自分のfetchingが
直接Webに公開されない場合、たとえば現在のWindow
またはWorkerに依存せず
バックグラウンドで送信される場合は、リクエストの
clientを
nullのままにし、代わりにリクエストのorigin、
policy container、service-workers
mode、および
referrerを適切な値に設定する。たとえば、事前に
環境設定オブジェクトからコピーする。これらのより高度な場合には、
自分のfetchがContent Security Policyおよび
referrer policyをどのように扱うかの詳細を明確にしておくこと。また、
コールバック(fetchの呼び出しとレスポンスの処理を参照)は並列キューに投稿されるため、並行性も扱うようにすること。[REFERRER] [CSP]
クロスオリジンリソースをどのように扱うつもりかをよく考える。一部の機能は
same originでのみ動作することがあり、その場合は自分のリクエストのmodeを
"same-origin" に設定する。そうでない場合、新しいWeb公開機能はほぼ常にその
modeを
"cors" に設定すべきである。自分の機能がWebに公開されない場合、または
CORSなしでクロスオリジンリソースをfetchする別の理由があると考える場合は、議論するために
issueを
提出
してほしい。
クロスオリジンリクエストについては、資格情報をリクエストに含めるかどうかも決定する。
含める場合は、自分のリクエストのcredentials
modeを
"include" に設定する。
自分のfetchをResource Timingに報告する必要があるか、およびどの initiator typeで報告するかを判断する。 initiator typeを リクエストに渡すことで、 fetchが完了しレスポンスが完全にダウンロードされると、Resource Timingへの報告が自動的に行われる。[RESOURCE-TIMING]
自分のリクエストが追加のHTTPヘッダーを必要とする場合、そのheader listを、
それらのヘッダーを含むheader
listに
設定する。たとえば、« (`My-Header-Name`,
`My-Header-Value`) » である。カスタムヘッダーの送信には、
CORS-preflight
fetchが必要になるなどの含意があり得るため、注意して扱うこと。
既定のキャッシュ機構を上書きしたい場合、たとえばこの
リクエストのキャッシュを無効化したい場合は、
リクエストのcache modeを
"default" 以外の値に設定する。
自分のリクエストがリダイレクトをサポートするようにしたいかどうかを決定する。サポートしたくない場合は、その
redirect modeを "error" に設定する。
requestの残りのパラメーターを一通り確認し、自分に関連するものが他にあるかを見る。 残りのパラメーターは使用頻度が低く、多くの場合は特殊な目的のためであり、 この標準の§ 2.2.5 Requests節で詳細に文書化されている。
fetch の呼び出しとレスポンス処理
リクエストのほかに、 fetch操作は、いくつかの 省略可能な 引数を取る。アルゴリズムを取るそれらの引数については、そのアルゴリズムはタスクから (または並列キュー内で、useParallelQueueがtrueの場合に)呼び出される。
リクエストの設定が 完了したら、 fetchにどのアルゴリズムを渡すかを決定するために、 レスポンスをどのように処理したいか、特にどの段階で コールバックを受け取りたいかを決定する:
- 完了時
-
これは、たとえば scriptsやstyle resourcesなど、ほとんどの呼び出し元が レスポンスを扱う方法である。 レスポンスの body は全体が バイト列へ読み込まれ、その後、呼び出し元によって処理される。
完了時にレスポンスを処理するには、 fetchの processResponseConsumeBody引数としてアルゴリズムを渡す。与えられた アルゴリズムには、レスポンスと、完全に読み込まれた body (レスポンスの 内部レスポンスのもの)を表す引数が渡される。第2引数の値は 次の意味を持つ:
- null
- レスポンスのbodyがnullである。 これは、レスポンスが ネットワークエラーであるか、null body statusを持つことによる。
- failure
- レスポンスの bodyの内容を完全に読む試行が失敗した。たとえばI/Oエラーによる。
- バイト列
-
レスポンスの 内部レスポンスのbodyの内容を完全に 読むことに成功した。
完全な内容を含むバイト列は、 リクエストの modeが "
no-cors" である場合にも渡される。呼び出し元は、 そのような内容を扱う際には注意しなければならない。それは要求元の オリジンからアクセス可能であってはならないためである。たとえば、呼び出し元は "no-cors" レスポンスの内容を用いて画像内容を直接ユーザーに表示してもよいが、その画像内容を 埋め込み文書内のスクリプトに直接公開すべきではない。
-
requestを、リクエストとする。そのURLは
https://stuff.example.com/であり、clientは thisの 関連設定オブジェクトである。 -
requestをfetchする。 その際、 processResponseConsumeBodyを、 レスポンス responseとnull、failure、 またはバイト列 contentsが与えられたときの次の手順に設定する:
-
contentsがnullまたはfailureであるなら、ユーザーにエラーを提示する。
-
そうでなければ、responseからのメタデータを考慮してcontentsを解析し、 それに対して独自の操作を行う。
-
- まずヘッダー、その後チャンクごと
-
場合によっては、たとえば動画を再生する場合や画像を段階的に読み込む場合、呼び出し元は レスポンスをストリームし、一度に1チャンクずつ処理したいことがある。 レスポンスは、 ヘッダーが処理されるとfetch呼び出し元に引き渡され、呼び出し元は そこから継続する。
レスポンスをチャンクごとに処理するには、 fetchの processResponse引数へアルゴリズムを渡す。与えられた アルゴリズムには、レスポンスのヘッダーが受信されたときにレスポンスが渡され、呼び出し元は レスポンスの残りをダウンロードするために、そのレスポンスの bodyのstreamを読み取る責任を負う。 便宜上、 processResponseEndOfBody引数へもアルゴリズムを渡してよい。 これは、レスポンスとそのbodyを完全に読み終えたときに呼び出される。なお、 processResponseConsumeBodyとは異なり、 processResponseまたはprocessResponseEndOfBody引数を渡しても、 レスポンスが完全に読まれることは保証されず、呼び出し元は自分でそれを読む責任を負う。
processResponse引数は、 レスポンスのheader listおよびstatusを、 bodyをまったく扱わずに処理するためにも有用である。これは、たとえば ok statusを持たない レスポンスを扱うときに使用される。
-
requestを、リクエストとする。そのURLは
https://stream.example.com/であり、clientは thisの 関連設定オブジェクトである。 -
requestをfetchする。 その際、 processResponseを、 レスポンス responseが与えられたときの 次の手順に設定する:
-
responseがネットワークエラーであるなら、ユーザーに エラーを提示する。
-
そうでなく、responseのstatusが ok statusでないなら、 ユーザーに何らかのフォールバック値を提示する。
-
そうでなければ、readerを取得する。対象はresponseの bodyのstreamであり、 responseのheaders listからMIMEタイプを抽出することで識別される MIMEタイプに適した方法で処理する。
-
-
- レスポンスを無視する
-
場合によっては、たとえば
navigator.sendBeacon()の場合など、 レスポンスがまったく不要なことがある。 レスポンスを処理し、コールバックを fetchに渡すことは任意であるため、 コールバックを省略すると、レスポンスを期待せずにfetchすることになる。そのような場合、 レスポンスのbodyの stream は破棄され、呼び出し元は内容を不必要にダウンロードすることを心配しなくてよい。リクエストをfetchする。その URLは
https://fire-and-forget.example.com/、 methodは `POST`、かつclientはthisの 関連設定オブジェクトである。
レスポンスを扱うためのコールバックとは別に、fetchは高度な場合のために追加のコールバックを受け付ける。 processEarlyHintsResponseは、特に レスポンスのstatusが 103であるものを対象としており、現在は ナビゲーションによってのみ扱われる。processRequestBodyChunkLengthおよび processRequestEndOfBodyは、リクエストbodyのアップロード 進行状況を呼び出し元に通知する。
fetch操作は、 それが呼び出されたのと同じスレッドで開始し、 その後、内部操作を並列に実行するために分岐することに注意する。前述のコールバックは、 指定されたevent loopに投稿される。これは既定では clientのグローバルオブジェクトである。 レスポンスを並列に処理し、メインスレッドとのやり取りを自分で扱うには、 fetchを、useParallelQueueをtrueに設定して行う。
進行中の fetch の操作
すでに開始された fetch 操作を操作するには、 fetch 呼び出しで返される fetch controller を使います。例えば、ユーザーやページのロジックで abort したり、 ブラウザ内部の事情で terminate することができます。
terminate や abort 以外にも、タイミングの報告 や
initiator
type を渡していない場合の報告、
完全なタイミング情報の取得(ナビゲーションのみ)なども可能です。
fetch controller は
次の手動リダイレクトの処理にも使われます(
request の
redirect mode が "manual" の場合)。
謝辞
感謝を表します: Adam Barth、 Adam Lavin、 Alan Jeffrey、 Alexey Proskuryakov、 Andreas Kling、 Andrés Gutiérrez、 Andrew Sutherland、 Andrew Williams、 Ángel González、 Anssi Kostiainen、 Arkadiusz Michalski、 Arne Johannessen、 Artem Skoretskiy、 Arthur Barstow、 Arthur Sonzogni、 Asanka Herath、 Axel Rauschmayer、 Ben Kelly、 Benjamin Gruenbaum、 Benjamin Hawkes-Lewis、 Benjamin VanderSloot、 Bert Bos、 Björn Höhrmann、 Boris Zbarsky、 Brad Hill、 Brad Porter、 Bryan Smith、 Caitlin Potter、 Cameron McCormack、 Carlo Cannas、 白丞祐 (Cheng-You Bai)、 Chirag S Kumar、 Chris Needham、 Chris Rebert、 Clement Pellerin、 Collin Jackson、 Daniel Robertson、 Daniel Veditz、 Dave Tapuska、 David Benjamin、 David Håsäther、 David Orchard、 Dean Jackson、 Devdatta Akhawe、 Domenic Denicola、 Dominic Farolino、 Dominique Hazaël-Massieux、 Doug Turner、 Douglas Creager、 Eero Häkkinen、 Ehsan Akhgari、 Emily Stark、 Eric Lawrence、 Eric Orth、 Feng Yu、 François Marier、 Frank Ellerman、 Frederick Hirsch、 Frederik Braun、 Gary Blackwood、 Gavin Carothers、 Glenn Maynard、 Graham Klyne、 Gregory Terzian、 Guohui Deng(邓国辉)、 Hal Lockhart、 Hallvord R. M. Steen、 Harris Hancock、 Henri Sivonen、 Henry Story、 Hiroshige Hayashizaki、 Honza Bambas、 Ian Hickson、 Ilya Grigorik、 isonmad、 Jake Archibald、 James Graham、 Jamie Mansfield、 Janusz Majnert、 Jeena Lee、 Jeff Carpenter、 Jeff Hodges、 Jeffrey Yasskin、 Jensen Chappell、 Jeremy Roman、 Jesse M. Heines、 Jianjun Chen、 Jinho Bang、 Jochen Eisinger、 John Wilander、 Jonas Sicking、 Jonathan Kingston、 Jonathan Watt、 최종찬 (Jongchan Choi)、 Jordan Stephens、 Jörn Zaefferer、 Joseph Pecoraro、 Josh Matthews、 jub0bs、 Julian Krispel-Samsel、 Julian Reschke、 송정기 (Jungkee Song)、 Jussi Kalliokoski、 Jxck、 Kagami Sascha Rosylight、 Keita Suzuki、 Keith Yeung、 Kenji Baheux、 Lachlan Hunt、 Larry Masinter、 Liam Brummitt、 Linus Groh、 Louis Ryan、 Luca Casonato、 Lucas Gonze、 Łukasz Anforowicz、 呂康豪 (Kang-Hao Lu)、 Maciej Stachowiak、 Malisa、 Manfred Stock、 Manish Goregaokar、 Marc Silbey、 Marcos Caceres、 Marijn Kruisselbrink、 Mark Nottingham、 Mark S. Miller、 Martin Dürst、 Martin O’Neal、 Martin Thomson、 Matt Andrews、 Matt Falkenhagen、 Matt Menke、 Matt Oshry、 Matt Seddon、 Matt Womer、 Mhano Harkness、 Michael Ficarra、 Michael Kohler、 Michael™ Smith、 Mike Pennisi、 Mike West、 Mohamed Zergaoui、 Mohammed Zubair Ahmed、 Moritz Kneilmann、 Ms2ger、 Nico Schlömer、 Nicolás Peña Moreno、 Nidhi Jaju、 Nikhil Marathe、 Nikki Bee、 Nikunj Mehta、 Noam Rosenthal、 Odin Hørthe Omdal、 Olli Pettay、 Ondřej Žára、 O. Opsec、 Patrick Meenan、 Perry Jiang、 Philip Jägenstedt、 R. Auburn、 Raphael Kubo da Costa、 Robert Linder、 Rondinelly、 Rory Hewitt、 Ross A. Baker、 Ryan Sleevi、 Sam Atkins、 Samy Kamkar、 Sébastien Cevey、 Sendil Kumar N、 Shao-xuan Kang、 Sharath Udupa、 Shivakumar Jagalur Matt、 Shivani Sharma、 Sigbjørn Finne、 Simon Pieters、 Simon Sapin、 Simon Wülker、 Srirama Chandra Sekhar Mogali、 Stephan Paul、 Steven Salat、 Sunava Dutta、 Surya Ismail、 Tab Atkins-Bittner、 Takashi Toyoshima、 吉野剛史 (Takeshi Yoshino)、 Thomas Roessler、 Thomas Steiner、 Thomas Wisniewski、 Tiancheng "Timothy" Gu、 Tobie Langel、 Tom Schuster、 Tomás Aparicio、 triple-underscore、 保呂毅 (Tsuyoshi Horo)、 Tyler Close、 Ujjwal Sharma、 Vignesh Shanmugam、 Vladimir Dzhuvinov、 Wayne Carr、 Xabier Rodríguez、 Yehuda Katz、 Yoav Weiss、 Yoshisato Yanagisawa、 Youenn Fablet、 Yoichi Osato、 平野裕 (Yutaka Hirano)、 Zhenbin Xu 素晴らしい協力に感謝します。
本現行標準は Anne van Kesteren (Apple, annevk@annevk.nl) によって執筆されています。
知的財産権
Copyright © WHATWG (Apple, Google, Mozilla, Microsoft)。この成果物は Creative Commons Attribution 4.0 International License に基づきライセンスされています。ソースコードに組み込まれる部分については、BSD 3-Clause License に基づきライセンスされます。
これは現行標準です。 特許審査版に関心がある場合は 現行標準レビュー草案を参照してください。