Fetch

2.1. ~URL

次に挙げる`~scheme$urlが `局所~scheme@ である ⇒＃ `about^l, `blob^l, `data^l ◎ A local scheme is a scheme that is "about", "blob", or "data".

`~URL$が `局所的@ であるとは、その`~scheme$urlが`局所~scheme$であることを意味する。 ◎ A URL is local if its scheme is a local scheme.

注記： この定義は `Referrer Policy^cite `REFERRER$r からも利用される。 ◎ This definition is also used by Referrer Policy. [REFERRER]

次に挙げる`~scheme$urlが `~HTTP_S~scheme@ である ⇒＃ `http^l, `https^l ◎ An HTTP(S) scheme is a scheme that is "http" or "https".

次に挙げる`~scheme$urlが `~network~scheme@ である ⇒＃ `ftp^l, `~HTTP_S~scheme$ ◎ A network scheme is a scheme that is "ftp" or an HTTP(S) scheme.

次に挙げる`~scheme$urlが `~fetch~scheme@ である ⇒＃ `about^l, `blob^l, `data^l, `file^l, `~network~scheme$ ◎ A fetch scheme is a scheme that is "about", "blob", "data", "file", or a network scheme.

注記： `~network~scheme$, `~HTTP_S~scheme$, `~fetch~scheme$ は~HTMLからも利用される。 `HTML$r ◎ HTTP(S) scheme, network scheme, and fetch scheme are also used by HTML. [HTML]

`応答~URL@ は、`~URL$のうち，［ 実装は`素片$urlを格納する必要はない ］ものである — それは、~APIには決して公開されないので。 そのような`~URLを直列化する$ときには、 %素片は除外する~flag は `素片は除外する^i にされる† — すなわち実装は、それにかまわず，`素片$urlを格納できる。 【† この仕様が定義する~APIにおいては、 `response.url$m 属性。】 ◎ A response URL is a URL for which implementations need not store the fragment as it is never exposed. When serialized, the exclude fragment flag is set, meaning implementations can store the fragment nonetheless.

2.2. ~HTTP

`~fetching$は，単なる~HTTPを超えるものを包摂するが、~HTTPからいくつかの概念を流用し，それらを他の手段（例えば `data^c ~URL）を通して得られた資源に対してもあてはめる。 ◎ While fetching encompasses more than just HTTP, it borrows a number of concepts from HTTP and applies these to resources obtained via other means (e.g., data URLs).

`~HTTP~tab-or-space@ は［ `0009^U `TAB^smb ／ `0020^U `SPACE^smb ］である。 ◎ An HTTP tab or space is U+0009 TAB or U+0020 SPACE.

`~HTTP空白@ は［ `000A^U `LF^smb ／ `000D^U `CR^smb ／ `~HTTP~tab-or-space$ ］である。 ◎ HTTP whitespace is U+000A LF, U+000D CR, or an HTTP tab or space.

注記： `~HTTP空白$が有用になるのは、~HTTP~headerの文脈の外側で再利用される特定の構成子（例：`~MIME型$）に限られる。 ~HTTP~header値~用には，`~HTTP~tab-or-space$の利用が選好され、その文脈の外側では，`~ASCII空白$の利用が選好される。 `~ASCII空白$と違って、これは `000C^U `FF^smb を含まない。 ◎ HTTP whitespace is only useful for specific constructs that are reused outside the context of HTTP headers (e.g., MIME types). For HTTP header values, using HTTP tab or space is preferred, and outside that context ASCII whitespace is preferred. Unlike ASCII whitespace this excludes U+000C FF.

`~HTTP改行~byte@ は、［ `0A^X `LF^smb ／ `0D^X `CR^smb ］である。 ◎ An HTTP newline byte is 0x0A (LF) or 0x0D (CR).

`~HTTP~tab-or-space~byte@ は、［ `09^X `HT^smb ／ `20^X `SP^smb ］である。 ◎ An HTTP tab or space byte is 0x09 (HT) or 0x20 (SP).

`~HTTP空白~byte@ は、［ `~HTTP改行~byte$ ／ `~HTTP~tab-or-space~byte$ ］である。 ◎ An HTTP whitespace byte is an HTTP newline byte or HTTP tab or space byte.

`~HTTPS状態~値@ は、次のいずれかをとる ⇒＃ `none^l, `deprecated^l, `modern^l ◎ An HTTPS state value is "none", "deprecated", or "modern".

注記： ~HTTPS越しに送達される`応答$の`~HTTPS状態$rsは、概して， `modern^l に設定される。 ~UAは、過渡期においては `deprecated^l を利用できる。 例えば［ ~hash関数 ／ 弱い暗号suite ／ "Internal Name" 用の証明書 ／ 有効期間が長過ぎる証明書 ］の~supportを除去するまでの間など。 ~UAが，正確にどの~~程度まで `deprecated^l を利用できるかは、この仕様では定義されない。 `環境~設定群~obj$は、概して`応答$から その`~HTTPS状態$enVを送達する。 ◎ A response delivered over HTTPS will typically have its HTTPS state set to "modern". A user agent can use "deprecated" in a transition period. E.g., while removing support for a hash function, weak cipher suites, certificates for an "Internal Name", or certificates with an overly long validity period. How exactly a user agent can use "deprecated" is not defined by this specification. An environment settings object typically derives its HTTPS state from a response.

`~HTTP引用符付き文字列を収集する@ ときは、所与の ( `文字列$ %入力, `位置~変数$ %位置, %値を抽出する~flag ~IN { `値を抽出する^i, ε }（省略時は ε ） ) に対し，次を走らす： ◎ To collect an HTTP quoted string from a string input, given a position variable position and optionally an extract-value flag, run these steps:

1. %開始-位置 ~LET %位置 ◎ Let positionStart be position.
2. %値 ~LET 空~文字列 ◎ Let value be the empty string.
3. ~Assert： %位置↗ ~EQ `0022^U `"^smb ◎ Assert: the code point at position within input is U+0022 (").
4. %位置 ~INCBY 1 ◎ Advance position by 1.

5. ~WHILE 無条件： ◎ While true:

   1. %値 に次の結果を付加する ⇒ %入力 内の %位置 から { `0022^U `"^smb, `005C^U `\^smb } 以外の`符号位置~並びを収集する$ ◎ Append the result of collecting a sequence of code points that are not U+0022 (") or U+005C (\) from input, given position, to value.
   2. ~Assert： %位置↗ ~IN { ε, `0022^U `"^smb, `005C^U `\^smb } ◎ If position is past the end of input, then break.

   3. ~IF［ %位置↗ ~EQ `005C^U `\^smb ］：

      1. %位置 ~INCBY 1
      2. ~IF［ %位置↗ ~NEQ ε ］ ⇒＃ %値 に %位置↗ を付加する； %位置 ~INCBY 1； ~CONTINUE
      3. %値 に `005C^U `\^smb を付加する
      ◎ Let quoteOrBackslash be the code point at position within input. ◎ Advance position by 1. ◎ If quoteOrBackslash is U+005C (\), then: • If position is past the end of input, then append U+005C (\) to value and break. • Append the code point at position within input to value. • Advance position by 1.
   4. ~IF［ %位置↗ ~NEQ ε ］ ⇒ %位置 ~INCBY 1 ◎ ↑↓
   5. ~BREAK ◎ Otherwise: • Assert: quoteOrBackslash is U+0022 ("). • Break.
6. ~IF［ %値を抽出する~flag ~NEQ ε ］ ⇒ ~RET %値 ◎ If the extract-value flag is set, then return value.
7. ~RET %入力 内の %開始-位置↗ から ( %位置 ~MINUS 1 )↗ までの`符号位置$並び ◎ Return the code points from positionStart to position, inclusive, within input.

注記： %値を抽出する~flag 引数は、この~algoを［ `~header~listから値を取得して復号して分割する$, `~MIME型を構文解析する$, その他これを必要とし得る他の~header値~構文解析器 ］に相応しくするためにある。 ◎ The extract-value flag argument makes this algorithm suitable for getting, decoding, and splitting and parse a MIME type, as well as other header value parsers that might need this.

A: nosniff,

A: nosniff
B: sniff
A:

A: text/html;", x/x

A: text/html;"
A: x/x

A: x/x;test="hi",y/y

A: x/x;test="hi"
C: **bingo**
A: y/y

A: x / x,,,1

A: x / x
A: ,
A: 1

A: "1,2", 3

A: "1,2"
D: 4
A: 3

2.3. 認証~entry

`認証~entry@ ／ `~proxy認証~entry@ は、［ ~HTTP認証／~HTTP~proxy認証 ］に利用される［ ~username, ~password, ~realm† ］の組であり，1 つ以上の`要請$に結付けられる。 【† `HTTP-AUTH$r 2.2 節 】 ◎ An authentication entry and a proxy-authentication entry are tuples of username, password, and realm, used for HTTP authentication and HTTP proxy authentication, and associated with one or more requests.

~UAは、［ ~HTTP~cookieと, それに類する追跡~機能性 ］が一緒に消去されることを，許容するベキである。 ◎ User agents should allow both to be cleared together with HTTP cookies and similar tracking functionality.

更なる詳細は~HTTPにて定義される。 `HTTP$r `HTTP-SEMANTICS$r `HTTP-COND$r `HTTP-CACHING$r `HTTP-AUTH$r ◎ Further details are defined by HTTP. [HTTP] [HTTP-SEMANTICS] [HTTP-COND] [HTTP-CACHING] [HTTP-AUTH]

2.4. ~fetch~group

各 `環境~設定群~obj$には、 `~fetch~group@ が結付けられる。 ◎ Each environment settings object has an associated fetch group.

各`~fetch~group$は、いくつかの `~fetch記録@ からなる，有順序~listを保持する。 ◎ A fetch group holds an ordered list of fetch records.

各`~fetch記録$には、次のものが結付けられる： ◎ ↓

`要請@fg

`要請$。 ◎ A fetch record has an associated request (a request).

`~fetch@fg

`~fetch$~algoの~instance, または ~NULL 。 ◎ A fetch record has an associated fetch (a fetch algorithm or null).

`~fetch~group$ %G が `終了され@fg たときは、次を走らす ⇒ %G 内の ~EACH( `~fetch記録$ %記録 ) に対し ⇒ ~IF［ %記録 の`要請$fgは［［ `~done~flag$rq ~EQ ~OFF ］~OR［ `~keepalive~flag$rq ~EQ ~OFF ］］を満たす ］ ⇒ %記録 の`~fetch$fgを`終了させる$() ◎ When a fetch group is terminated, for each associated fetch record whose request’s done flag or keepalive flag is unset, terminate the fetch record’s fetch.

2.5. 接続

~UAには `接続~pool@ が結付けられる。 `接続~pool$は、 0 個以上の `接続@ からなる。 各 `接続$は、組 ( `origin^cN （`生成元$）, `credentials^cN（真偽値） ) で識別される。 ◎ A user agent has an associated connection pool. A connection pool consists of zero or more connections. Each connection is identified by an origin (an origin) and credentials (a boolean).

`接続を得る@ ときは、所与の ( %生成元, %資格証 ) に対し，次を走らす： ◎ To obtain a connection, given an origin and credentials, run these steps:

1. ~IF［ `接続~pool$内に，［ ( `origin^cN, `credentials^cN ) ~EQ ( %生成元, %資格証 ) ］を満たす`接続$はある ］ ⇒ ~RET その`接続$ ◎ If connection pool contains a connection whose origin is origin and credentials is credentials, then return that connection.
2. %接続 ~LET ~NULL ◎ Let connection be null.

3. この段の中は、進行中の~fetchが`終了され$た`ときは中止する$： ◎ Run these steps, but abort when the ongoing fetch is terminated:

   1. %接続 ~SET %生成元 への~HTTP接続を確立しようと試みた結果 `HTTP$r `HTTP-SEMANTICS$r `HTTP-COND$r `HTTP-CACHING$r `HTTP-AUTH$r `TLS$r — ただし ⇒ ［ %資格証 ~EQ ~F ］の場合は、~TLS~client証明書は送信しないこと ◎ Set connection to the result of establishing an HTTP connection to origin. [HTTP] [HTTP-SEMANTICS] [HTTP-COND] [HTTP-CACHING] [HTTP-AUTH] [TLS] • If credentials is false, then do not send a TLS client certificate.
   2. ~IF［ 接続の確立に成功しなかった（例： DNS／TCP／TLS の~error） ］ ⇒ ~RET `失敗^i ◎ If establishing a connection does not succeed (e.g., a DNS, TCP, or TLS error), then return failure.

4. 前~段が`中止されたときは$： ◎ If aborted, then:

   1. ~IF［ %接続 ~NEQ ~NULL ］ ⇒ %接続 を~closeする ◎ If connection is not null, then close connection.
   2. ~RET `失敗^i ◎ Return failure.
5. `接続~pool$に，次のようにされた %接続 を追加する ⇒ ( `origin^cN, `credentials^cN ) ~SET ( %生成元, %資格証 ) ◎ Add connection to the connection pool with origin being origin and credentials being credentials.
6. ~RET %接続 ◎ Return connection.

注記： これは，意図的にやや曖昧にされている — 細かい点で，まだ発展し続けているので。 これを述べることは、 `link rel=preconnect^e による特色機能を説明する助けになり、また，`接続$は `credentials^cN 別に分けられることを明瞭に~~規定する。 後者は、例えば~TLS~session識別子が［ `credentials^cN ~EQ ~F の`接続$ ］と［ ~EQ ~T のそれ ］とにまたがって再利用されないことを明確化する。 ◎ This is intentionally a little vague as the finer points are still evolving. Describing this helps explain the <link rel=preconnect> feature and clearly stipulates that connections are keyed on credentials. The latter clarifies that e.g., TLS session identifiers are not reused across connections whose credentials are false with connections whose credentials are true.

2.6. ~portの阻止-法

`要請$ %要請 の `~fetchingは，不良~portに因り阻止されるべきか？@ どうか決定するときは、次を走らす： ◎ To determine whether fetching a request request should be blocked due to a bad port, run these steps:

1. %~url ~LET %要請 の`現在の~URL$rq ◎ Let url be request’s current URL.
2. %~scheme ~LET %~url の`~scheme$url ◎ Let scheme be url’s scheme.
3. %~port ~LET %~url の`~port$url ◎ Let port be url’s port.
4. ~IF［ %~scheme ~EQ `ftp^l ］~AND［ %~port ~IN { 20, 21 } ］ ⇒ ~RET `許容ed^i ◎ If scheme is "ftp" and port is 20 or 21, then return allowed.
5. ~IF［ %~scheme は`~network~scheme$である ］~AND［ %~port は`不良~port$である ］ ⇒ ~RET `阻止ed^i ◎ Otherwise, if scheme is a network scheme and port is a bad port, then return blocked.
6. ~RET `許容ed^i ◎ Return allowed.

次の表の一列目に挙げられる`~port$urlは、 `不良~port@ であるとされる： ◎ A port is a bad port if it is listed in the first column of the following table.

2.7. %要請 に対する %応答 は，~MIME型に因り阻止されるべきか？

次の手続きを走らす： ◎ Run these steps:

1. %~MIME型 ~LET `~header~listから~MIME型を抽出する$( %応答 の`~header~list$rs ) ◎ Let mimeType be the result of extracting a MIME type from response’s header list.

2. ~RET［ 次がすべて満たされるならば `阻止ed^i ／ ~ELSE_ `許容ed^i ］：

   • %~MIME型 ~NEQ `失敗^i
   • %要請 の`行先$rqは`~scriptに類する$
   • ［ %~MIME型 の`~essence$の頭部は［ `audio/^l, `image/^l, `video/^l ］いずれかに合致する ］~OR［ %~MIME型 の`~essence$ ~EQ `text/csv^l ］
   ◎ If mimeType is failure, then return allowed. ◎ Let destination be request’s destination. ◎ If destination is script-like and one of the following is true, then return blocked: • mimeType’s essence starts with "audio/", "image/", or "video/". • mimeType’s essence is "text/csv". ◎ Return allowed.

2.8. ~stream

注記： この節は、~IDLなどの他の標準に統合されるかもしれない。 ◎ This section might be integrated into other standards, such as IDL.

3.1. `Origin^h ~header

`Origin@h 要請`~header$は、`~fetch$ が出自にしている生成元を指示する。 ◎ The `Origin` request header indicates where a fetch originates from.

注記： `Origin$h ~headerは、 `Referer$h ~headerの`~path$url情報を露出させなくした~versionである（この~header名は、本来の英語の綴り “Referrer” と異なることに注意）。 これは、`~HTTP~fetch$のうち，［ %~CORS~flag が `~CORSあり^i の下に行われるもの, および `要請$の`~method$rqに［ `GET$hm, `HEAD$hm ］以外のものを利用するもの ］すべてに利用される。 互換性の拘束から、すべての`~fetch$に含まれることはない。 ◎ The `Origin` header is a version of the `Referer` [sic] header that does not reveal a path. It is used for all HTTP fetches whose CORS flag is set as well as those where request’s method is neither `GET` nor `HEAD`. Due to compatibility constraints it is not included in all fetches.

その`値$hd用の`~ABNF$は： ◎ Its value ABNF:

Origin               = origin-or-null

origin-or-null       = origin / `%s"null"^_ ; 大小区別
origin               = `~scheme$url "://" `~host$url [ ":" `~port$url ]

注記： これは `ORIGIN$r による `Origin^h `~header$を置き換える。 【値に複数個の生成元を含められないようにされている。】 ◎ This supplants the `Origin` header. [ORIGIN]

3.2. ~CORS~protocol

`~CORS~protocol@ は、非同一-生成元 間での応答の共有, および ~HTMLの`form$e 要素で可能なものより多用途の`~fetch$を可能にするためにある。 それは，~HTTPの上層にあり、それにより，応答は［ 自身が他の`生成元$と共有し得る ］ことを宣言できるようになる。 ◎ To allow sharing responses cross-origin and allow for more versatile fetches than possible with HTML’s form element, the CORS protocol exists. It is layered on top of HTTP and allows responses to declare they can be shared with other origins.

注記： これには、~firewallの背後（~intranet）からの応答による~data漏洩を防止するために，~opt-inの仕組みが必要になる。 加えて，`資格証$を含む`要請$にも、~sensitiveになり得る~dataの漏洩を防止するため，~opt-inが必要になる。 ◎ It needs to be an opt-in mechanism to prevent leaking data from responses behind a firewall (intranets). Additionally, for requests including credentials it needs to be opt-in to prevent leaking potentially-sensitive data.

この節では、`~CORS~protocol$の，~server開発者に該当する部分について説明する。 ~UA側に課される要件は、 ［ その新たな~HTTP~header ］の構文 を除き，`~fetch$ ~algoの一部として与えられる。 ◎ This section explains the CORS protocol as it pertains to server developers. Requirements for user agents are part of the fetch algorithm, except for the new HTTP header syntax.

Access-Control-Request-Method    = `method$p
Access-Control-Request-Headers   = 1#`field-name$p

wildcard                         = "*"
Access-Control-Allow-Origin      = origin-or-null / wildcard
Access-Control-Allow-Credentials = `%s"true"^_ ; 大小区別
Access-Control-Expose-Headers    = #`field-name$p
Access-Control-Max-Age           = `delta-seconds$p
Access-Control-Allow-Methods     = #`method$p
Access-Control-Allow-Headers     = #`field-name$p

var %client = new XMLHttpRequest()
%client.open("GET", "./")
%client.withCredentials = true
/* … */

fetch("./", { credentials:"include" }).then(/* … */)

var %url = "https://bar.invalid/api?key=\
730d67a37d7f3d802e96396d00280768773813fbe726d116944d814422fc1a45\
&data=about:unicorn";
fetch(%url).then(%success, %failure)

Origin: https://foo.invalid

fetch(%url).then(%response => {
  var %hsts = %response.headers.get("strict-transport-security"),
      %csp = %response.headers.get("content-security-policy")
  log(%hsts, %csp)
})

`Content-Security-Policy$: `default-src$dir 'self'
Strict-Transport-Security: max-age=31536000; includeSubdomains; preload
Access-Control-Expose-Headers: Content-Security-Policy

fetch(%url, { credentials:"include" }).then(%success, %failure)

Access-Control-Allow-Origin: https://foo.invalid
Access-Control-Allow-Credentials: true

3.3. `Content-Type^h ~header

`Content-Type$h ~headerは，大部分は~HTTPにて定義されているが、その処理~modelは，ここに定義される — ~HTTPが定義する~ABNFは、~web内容と互換でないので。 `HTTP$r ◎ The `Content-Type` header is largely defined in HTTP. Its processing model is defined here as the ABNF defined in HTTP is not compatible with web content. [HTTP]

`~header~listから~MIME型を抽出する@ ときは、所与の ( `~header~list$ %~headerたち ) に対し，次を走らす： ◎ To extract a MIME type from a header list headers, run these steps:

1. %~charset ~LET ~NULL ◎ Let charset be null.
2. %~essence ~LET ~NULL ◎ Let essence be null.
3. %~MIME型 ~LET ~NULL ◎ Let mimeType be null.
4. %値~list ~LET `~header~listから値を取得して復号して分割する$( %~headerたち, `Content-Type$h ) ◎ Let values be the result of getting, decoding, and splitting `Content-Type` from headers.
5. ~IF［ %値~list ~EQ ~NULL ］ ⇒ ~RET `失敗^i ◎ If values is null, then return failure.

6. %値~list を成す ~EACH( %値 ) に対し： ◎ For each value of values:

   1. %一時的~MIME型 ~LET `~MIME型を構文解析する$( %値 ) ◎ Let temporaryMimeType be the result of parsing value.
   2. ~IF［ %一時的~MIME型 ~EQ `失敗^i ］~OR［ %一時的~MIME型 の`~essence$ ~EQ `*/*^l ］ ⇒ ~CONTINUE ◎ If temporaryMimeType is failure or its essence is "*/*", then continue.
   3. %~MIME型 ~SET %一時的~MIME型 ◎ Set mimeType to temporaryMimeType.
   4. %~parameter~map ~LET %~MIME型 の`~parameter~map$ ◎ ↓

   5. ~IF［ %~MIME型 の`~essence$ ~NEQ %~essence ］： ◎ If mimeType’s essence is not essence, then:

      1. %~charset ~SET ~NULL ◎ Set charset to null.
      2. ~IF［ %~parameter~map[ `charset^l ] ~NEQ ε ］ ⇒ %~charset ~SET %~parameter~map[ `charset^l ] ◎ If mimeType’s parameters["charset"] exists, then set charset to mimeType’s parameters["charset"].
      3. %~essence ~SET %~MIME型 の`~essence$ ◎ Set essence to mimeType’s essence.
   6. ~ELIF［ %~parameter~map [ `charset^l ] ~EQ ε ］~AND［ %~charset ~NEQ ~NULL ］ ⇒ %~parameter~map[ `charset^l ] ~SET %~charset ◎ Otherwise, if mimeType’s parameters["charset"] does not exist, and charset is non-null, set mimeType’s parameters["charset"] to charset.
7. ~IF［ %~MIME型 ~EQ ~NULL ］ ⇒ ~RET `失敗^i ◎ If mimeType is null, then return failure.
8. ~RET %~MIME型 ◎ Return mimeType.

`~header~listから~MIME型を抽出する$が返す結果が［ `失敗^i ／ 所与の内容形式~用に不正な`~essence$を持つ`~MIME型$ ］である場合、致命的な~errorとして扱う。 既存の~web~platform特色機能は、この~patternに常に従ってはいなかった — それは、長年にわたり，それらの特色機能における保安~脆弱性の大多数の源であった。 対照的に，`~MIME型$の`~parameter~map$は、概して安全に無視できる。 ◎ When extract a MIME type returns failure or a MIME type whose essence is incorrect for a given format, treat this as a fatal error. Existing web platform features have not always followed this pattern, which has been a major source of security vulnerabilities in those features over the years. In contrast, a MIME type’s parameters can typically be safely ignored.

Content-Type: text/plain;charset=gbk, text/html

Content-Type: text/html;charset=gbk;a=b, text/html;x=y

Content-Type: text/html;charset=gbk;a=b
Content-Type: text/html;x=y

Content-Type: text/html;charset=gbk
Content-Type: x/x
Content-Type: text/html;x=y

Content-Type: text/html
Content-Type: cannot-parse

Content-Type: text/html
Content-Type: */*

Content-Type: text/html
Content-Type:

3.4. `X-Content-Type-Options^h ~header

`X-Content-Type-Options@h 応答`~header$を利用して、［ `応答$の `Content-Type$h `~header$を，`要請$の`行先$rqに対し検査する ］ことを要求できる。 ◎ The `X-Content-Type-Options` response header can be used to require checking of a response’s `Content-Type` header against the destination of a request.

`~nosniffかどうか決定する@ ときは、所与の ( `~header~list$ %~list ) に対し，次を走らす： ◎ To determine nosniff, given a header list list, run these steps:

1. %値たち ~LET `~header~listから値を取得して復号して分割する$( %~list, `X-Content-Type-Options$h ) ◎ Let values be the result of getting, decoding, and splitting `X-Content-Type-Options` from list.
2. ~IF［ %値たち ~EQ ~NULL ］ ⇒ ~RET ~F ◎ If values is null, then return false.
3. ~IF［ %値たち[ 0 ] は `nosniff^l に`~ASCII大小無視$で合致する ］ ⇒ ~RET ~T ◎ If values[0] is an ASCII case-insensitive match for "nosniff", then return true.
4. ~RET ~F ◎ Return false.

［ ~web開発者／適合性~検査器 ］は、 `X-Content-Type-Options$h 用の`値$hdに，次の`~ABNF$を利用しなければナラナイ： ◎ Web developers and conformance checkers must use the following value ABNF for `X-Content-Type-Options`:

X-Content-Type-Options = "nosniff" ; 大小無視

3.5. ~CORB

注記： ~CORBとも~~略称される，非同一-生成元からの読取りの阻止-法（ `Cross-Origin Read Blocking^en ）は、疑わしい非同一-生成元~資源~fetchを識別する~algoであり（例： `img^e 要素の内側にある~JSONを具現化しようと試みる様な~fetchは、どうやっても失敗することになる），それが~web~pageに達する前に阻止する。 ~CORBは、~sensitiveな~dataを非同一-生成元~web~pageから離れた所に保って，それが漏洩する~riskを抑制する。 ◎ Cross-origin read blocking, better known as CORB, is an algorithm which identifies dubious cross-origin resource fetches (e.g., fetches that would fail anyway like attempts to render JSON inside an img element) and blocks them before they reach a web page. CORB reduces the risk of leaking sensitive data by keeping it further from cross-origin web pages.

次に挙げるものが， `~CORBで保護される~MIME型@ とされる ⇒＃ `~HTML~MIME型$, `~JSON~MIME型$, `image/svg+xml^bl 以外の`~XML~MIME型$ ◎ A CORB-protected MIME type is an HTML MIME type, a JSON MIME type, or an XML MIME type excluding image/svg+xml.

`~CORB検査@ を遂行するときは、所与の ( %要請, %応答 ) に対し，次を走らす： ◎ To perform a CORB check, given a request and response, run these steps:

1. ~IF［ %要請 の`起動元$rq ~EQ `download^l ］ ⇒ ~RET `許容ed^i ◎ If request’s initiator is "download", then return allowed.

   ~download法を~naviの一種に落とし込めば、この段は除去できる。 ◎ If we recast downloading as navigation this step can be removed.

2. ~IF［ %要請 の`現在の~URL$rqの`~scheme$urlは`~HTTP_S~scheme$でない ］ ⇒ ~RET `許容ed^i ◎ If request’s current URL’s scheme is not an HTTP(S) scheme, then return allowed.
3. %~MIME型 ~LET `~header~listから~MIME型を抽出する$( %応答 の`~header~list$rs ) ◎ Let mimeType be the result of extracting a MIME type from response’s header list.
4. ~IF［ %~MIME型 ~EQ `失敗^i ］ ⇒ ~RET `許容ed^i ◎ If mimeType is failure, then return allowed.
5. ~IF［ %応答 の`~status$rs ~EQ `206$st ］~AND［ %~MIME型 は`~CORBで保護される~MIME型$である ］ ⇒ ~RET `阻止ed^i ◎ If response’s status is 206 and mimeType is a CORB-protected MIME type, then return blocked.

6. ~IF［ `~nosniffかどうか決定する$( %応答 の`~header~list$rs ) ~EQ ~T ］~AND［［ %~MIME型 は`~CORBで保護される~MIME型$である ］~OR［ %~MIME型 の`~essence$ ~EQ `text/plain^l ］］ ⇒ ~RET `阻止ed^i ◎ If determine nosniff with response’s header list is true and mimeType is a CORB-protected MIME type or its essence is "text/plain", then return blocked.

   注記： ~CORBが保護する `text/plain^bl 応答は、 `X-Content-Type-Options: nosniff^bl ~headerを伴うものに限られる。 あいにく，［ その~headerを伴わない, `~status$rs `206$st の応答 ］を保護することは、あまりに多くの［ `~MIME型$に `text/plain^bl を伴う，既存の動画~応答 ］を壊すことになる。 ◎ CORB only protects text/plain responses with a `X-Content-Type-Options: nosniff` header. Unfortunately, protecting such responses without that header when their status is 206 would break too many existing video responses that have a text/plain MIME type.

7. ~RET `許容ed^i ◎ Return allowed.

3.6. `Cross-Origin-Resource-Policy^h ~header

`Cross-Origin-Resource-Policy@h 応答`~header$は、次を要求するために利用できる ⇒ ［ `要請$の`~mode$rq ~EQ `no-cors^l ］のときには、`要請$の`現在の~URL$rqの`生成元$urlを`要請$の`生成元$rqに対し検査する ◎ The `Cross-Origin-Resource-Policy` response header can be used to require checking a request’s current URL’s origin against a request’s origin when request’s mode is "no-cors".

その`値$hd用の`~ABNF$は： ◎ Its value ABNF:

Cross-Origin-Resource-Policy
    = `%s"same-origin"^_ / `%s"same-site"^_ ; 大小区別

`非同一-生成元~資源~施策~検査@ を遂行するときは、所与の ( %要請, %応答 ) に対し，次を走らす: ◎ To perform a cross-origin resource policy check, given a request and response, run these steps:

1. ~IF［ %要請 の`~mode$rq ~NEQ `no-cors^l ］ ⇒ ~RET `許容ed^i ◎ If request’s mode is not "no-cors", then return allowed.

2. ~IF［ ( %要請 の`生成元$rq, %要請 の`現在の~URL$rqの`生成元$url ) は、`同一-生成元$である ］ ⇒ ~RET `許容ed^i ◎ If request’s origin is same origin with request’s current URL’s origin, then return allowed.

   注記： `Cross-Origin-Resource-Policy$h ~headerを運ぶ~redirectは検査される一方で、そのような~headerを伴わない~redirectに対しては， %応答 はこの~algoに寄与しなくなる。 すなわち、 %要請 の`~tainted生成元~flag$rqは検査されない。 【？】 ◎ While redirects that carry a `Cross-Origin-Resource-Policy` header are checked, redirects without such a header resulting in response do not contribute to this algorithm. I.e., request’s tainted origin flag is not checked.

3. %施策 ~LET `~header~listから値を取得する$( %応答 の`~header~list$rs, `Cross-Origin-Resource-Policy$h ) ◎ Let policy be the result of getting `Cross-Origin-Resource-Policy` from response’s header list.

   注記： これは、 `Cross-Origin-Resource-Policy: same-site, same-origin^bl に対しては，下にて `許容ed^i を返す結果になることを意味する — それが何かに合致することは決してないので。 `Cross-Origin-Resource-Policy$h ~headerが複数個ある場合も同じ効果になる。 ◎ This means that `Cross-Origin-Resource-Policy: same-site, same-origin` ends up as allowed below as it will never match anything. Two or more `Cross-Origin-Resource-Policy` headers will have the same effect.

4. ~IF［ %施策 ~EQ `same-origin^bl ］ ⇒ ~RET `阻止ed^i ◎ If policy is `same-origin`, then return blocked.

5. ~IF［ 次のいずれかが満たされる ］： ◎ If the following are true

   • ( %要請 の`生成元$rqの`~host$url, %要請 の`現在の~URL$rqの`~host$url ) は`同じ~site$である ◎ request’s origin’s host is same site with request’s current URL’s host
   • ［ %要請 の`生成元$rqの`~scheme$url ~EQ `https^l ］~OR［ %応答 の`~HTTPS状態$rs ~EQ `none^l ］ ◎ request’s origin’s scheme is "https" or response’s HTTPS state is "none"

   …ならば ⇒ ~RET `許容ed^i ◎ then return allowed.

   注記： これは、［ `Cross-Origin-Resource-Policy: same-site^bl を伴う~HTTPS応答 ］が，保安的な~transportなしに~accessされることを防止する。 ◎ This prevents HTTPS responses with `Cross-Origin-Resource-Policy: same-site` from being accessed without secure transport.

6. ~IF［ %施策 ~EQ `same-site^bl ］ ⇒ ~RET `阻止ed^i ◎ If policy is `same-site`, then return blocked.
7. ~RET `許容ed^i ◎ Return allowed.

4.1. ~main~fetch

`~main~fetch@ を遂行するときは、所与の ( %要請, %~CORS~flag ~IN { `~CORSあり^i, ε }（省略時は ε ）, %再帰~flag ~IN { `再帰あり^i, ε }（省略時は ε ） ) に対し，次の手続きを走らす： ◎ To perform a main fetch using request, optionally with a CORS flag and recursive flag, run these steps:

注記： `~main~fetch$が再帰的に呼出されるときには， %再帰~flag は `再帰あり^i にされる。 %~CORS~flag は、~redirectを取扱うための内部状態管理に用いられる。 ◎ When main fetch is invoked recursively recursive flag is set. CORS flag is a bookkeeping detail for handling redirects.

1. %応答 ~LET ~NULL ◎ Let response be null.

2. この段の中は、進行中の~fetchが`終了され$た`ときは中止する$： ◎ Run these steps, but abort when the ongoing fetch is terminated:

   1. ~IF［ %要請 の`局所~URLのみ~flag$ ~EQ ~ON ］~AND［ %要請 の`現在の~URL$rqは`局所的$でない ］ ⇒ %応答 ~SET `~network~error$ ◎ If request’s local-URLs-only flag is set and request’s current URL is not local, then set response to a network error.
   2. %要請 に対し ~CSP違反を報告する `CSP$r ◎ Execute Report Content Security Policy violations for request. [CSP]
   3. 適切になるなら %要請 を先天的に認証-済み~URLに昇格する `UPGRADE$r ◎ Upgrade request to a potentially secure URL, if appropriate. [UPGRADE]

   4. ~IF［ 次のいずれかの結果 ~EQ `阻止ed^i ］…：

      • %要請 の`~fetchingは，不良~portに因り阻止されるべきか？$
      • %要請 の~fetchingは，混在~内容として阻止されるべきか？ `MIX$r
      • %要請 の~fetchingは，~CSPにより阻止されるべきか？ `CSP$r

      …ならば ⇒ %応答 ~SET `~network~error$

      ◎ If should fetching request be blocked due to a bad port, should fetching request be blocked as mixed content, or should fetching request be blocked by Content Security Policy returns blocked, set response to a network error. [MIX] [CSP]
   5. ~IF［ %要請 の`~referrer施策$rq ~EQ 空~文字列 ］~AND［ %要請 の`~client$rq ~NEQ ~NULL ］ ⇒ %要請 の`~referrer施策$rq ~SET %要請 の`~client$rqの`~referrer施策$enV `REFERRER$r ◎ If request’s referrer policy is the empty string and request’s client is non-null, then set request’s referrer policy to request’s client’s referrer policy. [REFERRER]

   6. ~IF［ %要請 の`~referrer施策$rq ~EQ 空~文字列 ］ ⇒ %要請 の`~referrer施策$rq ~SET `no-referrer-when-downgrade^l ◎ If request’s referrer policy is the empty string, then set request’s referrer policy to "no-referrer-when-downgrade".

      注記： ここでは `no-referrer-when-downgrade^l を利用する — それが、歴史的な既定なので。 ◎ We use "no-referrer-when-downgrade" because it is the historical default.

   7. ~IF［ %要請 の`~referrer$rq ~NEQ `no-referrer^l ］ ⇒ %要請 の`~referrer$rq ~SET %要請 の`~referrerを決定-$した結果 `REFERRER$r ◎ If request’s referrer is not "no-referrer", set request’s referrer to the result of invoking determine request’s referrer. [REFERRER]

      注記： `Referrer Policy^cite 仕様に言明されている様に、~UAは，末端利用者に対し， %要請 の`~referrer$rqを常に `no-referrer^l で上書きするような選択余地, または より~sensitiveでない情報を公開するような選択余地を与えることができる。 ◎ As stated in Referrer Policy, user agents can provide the end user with options to override request’s referrer to "no-referrer" or have it expose less sensitive information.

   8. ~IF［ %要請 の`現在の~URL$rqの`~scheme$url ~EQ `ftp^l ］~AND［ %要請 の`~client$rqの`作成時の~URL$enVの`~scheme$url ~NEQ `ftp^l ］~AND［ %要請 の`予約-済み~client$rqは［ ~NULL, または［ `環境$であって，その`~target閲覧文脈$enVは`入子の閲覧文脈$である ］］］ ⇒ %応答 ~SET `~network~error$ ◎ If request’s current URL’s scheme is "ftp", request’s client’s creation URL’s scheme is not "ftp", and request’s reserved client is either null or an environment whose target browsing context is a nested browsing context, then set response to a network error.

   9. ~IF［ 次のいずれの条件も満たされる ］…： ◎ Set request’s current URL’s scheme to "https" if all of the following conditions are true:

      • %要請 の`現在の~URL$rqの`~scheme$url ~EQ `http^l ◎ request’s current URL’s scheme is "http"
      • %要請 の`現在の~URL$rqの`~host$urlは`~domain$urlである ◎ request’s current URL’s host is a domain

      • %要請 の`現在の~URL$rqの`~host$urlを Known HSTS Host Domain Name Matching `HSTS$r に従って照合した結果は、次のいずれかである：

        • superdomain match with an asserted `includeSubDomains^dir directive
        • congruent match (with or without an asserted `includeSubDomains^dir directive)
        ◎ Matching request’s current URL’s host per Known HSTS Host Domain Name Matching results in either a superdomain match with an asserted includeSubDomains directive or a congruent match (with or without an asserted includeSubDomains directive). [HSTS]

      …ならば ⇒ %要請 の`現在の~URL$rqの`~scheme$url ~SET `https^l ◎ ↑

3. 前~段が`中止されたときは$ ⇒ ~RET 終了-時の `中止~flag^i に応じて ⇒＃ ~ON ならば `中止~network~error$ ／ ~OFF ならば `~network~error$ ◎ If aborted, then: • Let aborted be the termination’s aborted flag. • If aborted is set, then return an aborted network error. • Return a network error.
4. ~IF［ %要請 の`同期~flag$rq ~EQ ~OFF ］~AND［ %再帰~flag ~EQ ε ］ ⇒ ~RET — ただし、以降は`並列的$に走らす。 ◎ If request’s synchronous flag is unset and recursive flag is unset, run the remaining steps in parallel.

5. ~IF［ %応答 ~EQ ~NULL ］ ⇒ %応答 ~SET 次の下位手続きを走らせた結果： ◎ If response is null, then set response to the result of running the steps corresponding to the first matching statement:

   1. ~IF［ 次のいずれかが満たされる ］…

      • ［ ( %要請 の`現在の~URL$rqの`生成元$, %要請 の`生成元$rq ) は`同一-生成元$である ］~AND［ %要請 の`~tainted生成元~flag$rq ~EQ ~OFF ］~AND［ %~CORS~flag ~EQ ε ］ ◎ request’s current URL’s origin is same origin with request’s origin, request’s tainted origin flag is unset, and the CORS flag is unset
      • %要請 の`現在の~URL$rqの`~scheme$url ~EQ `data^l ◎ request’s current URL’s scheme is "data"
      • %要請 の`~mode$rq ~IN { `navigate^l, `websocket^l } ◎ request’s mode is "navigate" or "websocket"

      …ならば：

      1. %要請 の`応答~tainting$rq ~SET `basic^l ◎ Set request’s response tainting to "basic".
      2. ~RET `~scheme~fetch$( %要請 ) を遂行した結果 ◎ Return the result of performing a scheme fetch using request.

      注記： ~HTMLは、［ `~scheme$url ~EQ `data^l ］なる`~URL$から作成された どの［ 文書 ／ ~worker ］に対しても，一意かつ`不透明な生成元$をアテガう。 ~swは、［ `~scheme$url ~IN `~HTTP_S~scheme$ ］なる`~URL$からのみ作成される。 `HTML$r `SW$r ◎ HTML assigns any documents and workers created from URLs whose scheme is "data" a unique opaque origin. Service workers can only be created from URLs whose scheme is an HTTP(S) scheme. [HTML] [SW]

   2. ~IF［ %要請 の`~mode$rq ~EQ `same-origin^l ］ ⇒ ~RET `~network~error$ ◎ request’s mode is "same-origin" • Return a network error.

   3. ~IF［ %要請 の`~mode$rq ~EQ `no-cors^l ］： ◎ request’s mode is "no-cors"

      1. ~IF［ %要請 の`~redirect~mode$rq ~NEQ `follow^l ］ ⇒ ~RET `~network~error$ ◎ If request’s redirect mode is not "follow", then return a network error.
      2. %要請 の`応答~tainting$rq ~SET `opaque^l ◎ Set request’s response tainting to "opaque".
      3. %~CORSなし要請 ~LET `~scheme~fetch$( %要請 ) を遂行した結果 ◎ Let noCorsResponse be the result of performing a scheme fetch using request.
      4. ~IF［ %~CORSなし要請 は`絞込み応答$である ］~OR［ `~CORB検査$( %要請, %~CORSなし要請 ) ~EQ `許容ed^i ］ ⇒ ~RET %~CORSなし要請 ◎ If noCorsResponse is a filtered response or the CORB check with request and noCorsResponse returns allowed, then return noCorsResponse.

      5. ~RET 次のようにされた新たな`応答$ ⇒＃ `~status$rs ~SET %~CORSなし要請 の`~status$rs, `~HTTPS状態$rs ~SET %~CORSなし要請 の`~HTTPS状態$rs, `~CSP~list$rs ~SET %~CORSなし要請 の`~CSP~list$rs ◎ Return a new response whose status is noCorsResponse’s status, HTTPS state is noCorsResponse’s HTTPS state, and CSP list is noCorsResponse’s CSP list.

         これが有効な防御になるのは、~side-channel攻撃に抗することに限られる — %~CORSなし要請 を当の要請を起動した~processから隔離し続けた場合に。 ◎ This is only an effective defense against side channel attacks if noCorsResponse is kept isolated from the process that initiated the request.

   4. ~IF［ %要請 の`現在の~URL$rqの`~scheme$urlは`~HTTP_S~scheme$でない ］ ⇒ ~RET `~network~error$ ◎ request’s current URL’s scheme is not an HTTP(S) scheme • Return a network error.

   5. ~IF［ 次のいずれかが満たされる ］…：

      • %要請 の`~CORS予行~利用~flag$rq ~EQ ~ON ◎ request’s use-CORS-preflight flag is set
      • ［ %要請 の`非安全~要請~flag$rq ~EQ ~ON ］~AND［［ %要請 の`~method$rqは `~CORS安全とされる~method$でない ］~OR［ `~CORS非安全な要請~header名たち$( %要請 の`~header~list$rq ) は空でない ］］ ◎ request’s unsafe-request flag is set and either request’s method is not a CORS-safelisted method or CORS-unsafe request-header names with request’s header list is not empty

      …ならば：

      1. %要請 の`応答~tainting$rq ~SET `cors^l ◎ Set request’s response tainting to "cors".
      2. %~CORS予行~付き応答 ~LET `~HTTP~fetch$( %要請, `~CORSあり^i, `予行あり^i ) を遂行した結果 ◎ Let corsWithPreflightResponse be the result of performing an HTTP fetch using request with CORS flag and CORS-preflight flag set.
      3. ~IF［ %~CORS予行~付き応答 は`~network~error$である ］ ⇒ `~cache~entryを消去する$( %要請 ) ◎ If corsWithPreflightResponse is a network error, then clear cache entries using request.
      4. ~RET %~CORS予行~付き応答 ◎ Return corsWithPreflightResponse.
   6. %要請 の`応答~tainting$rq ~SET `cors^l ◎ Otherwise • Set request’s response tainting to "cors".
   7. ~RET `~HTTP~fetch$( %要請, `~CORSあり^i ) を遂行した結果 ◎ • Return the result of performing an HTTP fetch using request with CORS flag set.
6. ~IF［ %再帰~flag ~EQ `再帰あり^i ］ ⇒ ~RET %応答 ◎ If the recursive flag is set, return response.

7. ~IF［ %応答 は`~network~error$でない ］~AND［ %応答 は`絞込み応答$でない ］： ◎ If response is not a network error and response is not a filtered response, then:

   1. ~IF［ %要請 の`応答~tainting$rq ~EQ `cors^l ］： ◎ If request’s response tainting is "cors", then:

      1. %~header名たち ~LET `~header~listから値を抽出する$( %応答 の`~header~list$rs, `Access-Control-Expose-Headers$h ) ◎ Let headerNames be the result of extracting header list values given `Access-Control-Expose-Headers` and response’s header list.

      2. ~IF［ %~header名たち ~NIN { ~NULL, `失敗^i } ］： ◎ ↓

         1. ~IF［ %要請 の`資格証~mode$rq ~NEQ `include^l ］~AND［ `*^bl ~IN %~header名たち ］ ⇒ %応答 の`~CORSに公開される~header名~list$rs ~SET %応答 の`~header~list$rs内の各`~header$の`名前$hdからなる~list — ここで、各~名前は，~list内で一意にする ◎ If request’s credentials mode is not "include" and headerNames contains `*`, then set response’s CORS-exposed header-name list to all unique header names in response’s header list.

         2. ~ELSE ⇒ %応答 の`~CORSに公開される~header名~list$rs ~SET %~header名たち ◎ Otherwise, if headerNames is not null or failure, then set response’s CORS-exposed header-name list to headerNames.

            注記： この時点でも， %~header名たち のいずれかは `*^bl であり得るが、合致する`~header$は［ `名前$hd ~EQ `*^bl ］を満たすものに限られることになる。 ◎ One of the headerNames can still be `*` at this point, but will only match a header whose name is `*`.

   2. %応答 ~SET %応答 を`内部~応答$とする`絞込み応答$であって， %要請 の`応答~tainting$rqに応じて 次で与えられるもの： ◎ Set response to the following filtered response with response as its internal response, depending on request’s response tainting:

      `basic^l

      `基本~絞込み応答$ ◎ basic filtered response

      `cors^l

      `~CORS絞込み応答$ ◎ CORS filtered response

      `opaque^l

      `不透明な絞込み応答$ ◎ opaque filtered response

8. %内部~応答 ~LET ［ %応答 は`~network~error$ならば %応答 ／ ~ELSE_ %応答 の`内部~応答$ ］ ◎ Let internalResponse be response, if response is a network error, and response’s internal response otherwise.

9. ~IF［ %内部~応答 の`~URL~list$rsは`空$である ］ ⇒ %内部~応答 の`~URL~list$rs ~SET %要請 の`~URL~list$rqを`~cloneする$ ◎ If internalResponse’s URL list is empty, then set it to a clone of request’s URL list.

   注記： `応答$の`~URL~list$rsは、この時点では概して空である — ただし，~swから来た応答については、空になるのは `new Response()^m を通して作成されたものに限られる。 ◎ A response’s URL list will typically be empty at this point, unless it came from a service worker, in which case it will only be empty if it was created through new Response().

10. %内部~応答 の`~CSP~listを設定する$ `CSP$r ◎ Set internalResponse’s CSP list. [CSP]

11. ~IF［ %応答 は`~network~error$でない ］~AND［ 次のいずれかの結果 ~EQ `阻止ed^i ］…： ◎ If response is not a network error and any of the following algorithms returns blocked, then set response and internalResponse to a network error:

    • %要請 に対する %内部~応答 は，混在~内容として阻止されるべきか？ `MIX$r ◎ should internalResponse to request be blocked as mixed content [MIX]
    • %要請 に対する %内部~応答 は，~CSPにより阻止されるべきか？ `CSP$r ◎ should internalResponse to request be blocked by Content Security Policy [CSP]
    • %要請 に対する %内部~応答 は，~MIME型に因り阻止されるべきか？ ◎ should internalResponse to request be blocked due to its MIME type
    • %要請 に対する %内部~応答 は，~nosniffに因り阻止されるべきか？ ◎ should internalResponse to request be blocked due to nosniff

    …ならば ⇒ ( %応答, %内部~応答 ) ~SET ( `~network~error$, `~network~error$ ) ◎ ↑

12. ~IF［ %応答 の`種別$rs ~EQ `opaque^l ］~AND［ %内部~応答 の`~status$rs ~EQ `206$st ］~AND［ %内部~応答 の`範囲が要請された~flag$rs ~EQ ~ON ］~AND［ %要請 の`~header~list$rq内に［ `Range$h を`名前に持つ~header$ ］は無い ］ ⇒＃ %応答 ~SET `~network~error$； %内部~応答 ~SET `~network~error$ ◎ If response’s type is "opaque", internalResponse’s status is 206, internalResponse’s range-requested flag is set, and request’s header list does not contain `Range`, then set response and internalResponse to a network error.

    注記： 伝統的に，~APIは、範囲が要請されなかった場合でも範囲~付き応答を受容する。 この段は、［ 過去の範囲~付き要請からの部分的~応答 ］が，範囲~要請を発行しなかった~APIに供されることを防止する。 ◎ Traditionally, APIs accept a ranged response even if a range was not requested. This prevents a partial response from an earlier ranged request being provided to an API that did not make a range request.

    この段は、次のような攻撃を防止する： ◎ Further details ◎ The above steps prevent the following attack attack:

    ~media要素を利用して，非同一-生成元~HTML資源のある範囲が要請されたとする。 これは妥当でない~mediaになるが、応答の~cloneへの参照は，~sw内に維持され得る。 これは、後で~script要素の~fetchに対する応答として利用され得る。 部分的~応答が妥当な~JSであった場合（一体としての資源はそうでなくとも）、それを実行すると私的~dataが漏洩されることになる。 ◎ A media element is used to request a range of a cross-origin HTML resource. Although this is invalid media, a reference to a clone of the response can be retained in a service worker. This can later be used as the response to a script element’s fetch. If the partial response is valid JavaScript (even though the whole resource is not), executing it would leak private data.

13. ~IF［ %応答 は`~network~error$でない ］~AND［［ %要請 の`~method$rq ~IN { `HEAD$hm, `CONNECT$hm } ］~OR［ %内部~応答 の`~status$rs は `~null本体~status$である ］］ ⇒ %内部~応答 の`本体$rs ~SET ~NULL — 以降、本体への~enqueueはすべて~~無視する ◎ If response is not a network error and either request’s method is `HEAD` or `CONNECT`, or internalResponse’s status is a null body status, set internalResponse’s body to null and disregard any enqueuing toward it (if any).

    注記： これは、~HTTPに違反する~server用に ~errorの取扱いを標準~化する。 ◎ This standardizes the error handling for servers that violate HTTP.

14. ~IF［ %応答 は`~network~error$でない ］~AND［ %要請 の`完全性~metadata$rq ~NEQ 空~文字列 ］： ◎ If response is not a network error and request’s integrity metadata is not the empty string, then:

    1. `本体を待機する$( %応答 の`本体$rs ) ◎ Wait for response’s body.
    2. ~IF［［ %応答 の`本体$rsの`~stream$bdは`~errorした$RS ］でない ］~AND［ `応答は~metadata~listに合致するか？$( %応答, %要請 の`完全性~metadata$rq ) ~EQ ~F ］ ⇒ ( %応答, %内部~応答 ) ~SET ( `~network~error$, `~network~error$ ) ◎ If response’s body’s stream has not errored, and response does not match request’s integrity metadata, set response and internalResponse to a network error. [SRI]

    注記： これは %応答 上で演算する — この~algoは %内部~応答 を観測するように想定されていないので。 それを許容すると、攻撃者が~hashを神託機械†（ `oracle^en ）として利用できるようになる。 【† — 参考： cryptographic oracle, padding oracle attack, `ランダムオラクル^_ 】 ◎ This operates on response as this algorithm is not supposed to observe internalResponse. That would allow an attacker to use hashes as an oracle.

15. ~IF［ %要請 の`同期~flag$rq ~EQ ~ON ］：

    1. `本体を待機する$( %内部~応答 の`本体$rs )
    2. ~RET %応答

    ◎ If request’s synchronous flag is set, wait for internalResponse’s body, and then return response.

    注記： これは`~fetch$を終了させる。 ◎ This terminates fetch.

16. ~IF［ %要請 の`現在の~URL$rqの`~scheme$urlは`~HTTP_S~scheme$である ］： ◎ If request’s current URL’s scheme is an HTTP(S) scheme, then:

    1. ~IF［ %要請 の`本体$rqは`~done$bdでない ］ ⇒ `並列的$に，`本体を待機する$( %要請 の`本体$rq ) ◎ ↓
    2. %要請 に対する`~fetch要請~done~taskを~queueする$ ◎ If request’s body is done, queue a fetch-request-done task for request. ◎ Otherwise, in parallel, wait for request’s body, and then queue a fetch-request-done task for request.
17. %要請 上で［ %応答 に対し`応答を処理する$ ］ための`~fetch~taskを~queueする$ ◎ Queue a fetch task on request to process response for response.
18. `本体を待機する$( %内部~応答 の`本体$rs ) ◎ Wait for internalResponse’s body.
19. %要請 上で［ %応答 に対し`応答の本体終端を処理する$ ］ための`~fetch~taskを~queueする$ ◎ Queue a fetch task on request to process response end-of-body for response.

20. 次のいずれかが生じるまで待機する ⇒＃ %内部~応答 の`~trailer$rsがすべて得られた† ／ 進行中の~fetchは`終了され$た

    `HTTP$r 4.1.2 節 を見よ。 【†~trailerが無い場合も、おそらく “空の~trailerが在る” と見做す（すなわち、本体が完全に得られるまで）。】

    ◎ Wait for either internalResponse’s trailer, if any, or for the ongoing fetch to terminate. See section 4.1.2 of [HTTP].
21. ~IF［ 進行中の~fetchは`終了され$た ］ ⇒ %内部~応答 の`~trailerは失敗した~flag$rs ~SET ~ON ◎ If the ongoing fetch is terminated, then set internalResponse’s trailer failed flag.
22. %要請 の`~done~flag$rq ~SET ~ON ◎ Set request’s done flag.
23. %要請 上で［ %応答 に対し`応答の~doneを処理する$ ］ための`~fetch~taskを~queueする$ ◎ Queue a fetch task on request to process response done for response.

4.2. ~scheme~fetch

`~scheme~fetch@ を遂行するときは、所与の ( %要請 ) に対し，［ %要請 の`現在の~URL$rq の`~scheme$urlに応じて，次の中から 対応する手続き ］を走らす： ◎ To perform a scheme fetch using request, switch on request’s current URL’s scheme, and run the associated steps:

`about^l

1. %~url ~LET %要請 の`現在の~URL$rq ◎ ↓

2. ~IF［ %~url の`~cannot-be-a-base-URL~flag$url ~EQ ~ON ］~AND［ %~url の`~path$urlは 単独の文字列 `blank^l からなる ］：

   1. %応答 ~LET 次のように設定された，新たな`応答$ ⇒＃ `~status~message$rs ~SET `OK^bl, `~header~list$rs ~SET « `新たな~header$( `Content-Type$h / `text/html;charset=utf-8^bl ) », `本体$rs ~SET 空~byte列
   2. ~IF［ %要請 の`~client$rq ~NEQ ~NULL ］ ⇒ %応答 の`~HTTPS状態$rs ~SET %要請 の`~client$rqの`~HTTPS状態$enV
   3. ~RET %応答
   ◎ If request’s current URL’s cannot-be-a-base-URL flag is set and path contains a single string "blank", then return a new response whose status message is `OK`, header list consist of a single header whose name is `Content-Type` and value is `text/html;charset=utf-8`, body is the empty byte sequence, and HTTPS state is request’s client’s HTTPS state if request’s client is non-null.
3. ~RET `~network~error$ ◎ Otherwise, return a network error.

注記： `about:config^l の類いの`~URL$は、`~navi$の間に取扱われ，`~fetch$の文脈~下では`~network~error$になる。 ◎ URLs such as "about:config" are handled during navigation and result in a network error in the context of fetching.

`blob^l

1. この段の中は、進行中の~fetchが`終了され$た`ときは中止する$： ◎ Run these steps, but abort when the ongoing fetch is terminated:

   1. %blob ~LET %要請 の`現在の~URL$rqの`~blob~URL~entry$urlの`~obj$bU ◎ Let blob be request’s current URL’s blob URL entry’s object.

   2. ~IF［ %要請 の`~method$rq ~NEQ `GET$hm ］~OR［ %blob は `Blob$I ~objでない `FILEAPI$r ］ ⇒ ~RET `~network~error$ ◎ If request’s method is not `GET` or blob is not a Blob object, then return a network error. [FILEAPI]

      注記： `GET^hm `~method$の制約には、相互運用可能にする以外に有用な目的はない。 ◎ The `GET` method restriction serves no useful purpose other than being interoperable.

   3. %応答 ~LET 次のように設定された，新たな`応答$ ⇒ `~status~message$rs ~SET `OK^bl ◎ Let response be a new response whose status message is `OK`.
   4. %応答 の`~header~list$rsに`~headerを付加する$( `Content-Length$h / %blob の `size$mF 属性~値 ) ◎ Append `Content-Length`/blob’s size attribute value to response’s header list.
   5. %応答 の`~header~list$rsに`~headerを付加する$( `Content-Type$h / %blob の `type$mF 属性~値 ) ◎ Append `Content-Type`/blob’s type attribute value to response’s header list.
   6. ~IF［ %要請 の`~client$rq ~NEQ ~NULL ］ ⇒ %応答 の`~HTTPS状態$rs ~SET %要請 の`~client$rqの`~HTTPS状態$enV ◎ Set response’s HTTPS state to request’s client’s HTTPS state if request’s client is non-null.
   7. %応答 の`本体$rs ~SET %blob 上で`読取り演算$xを遂行した結果 ◎ Set response’s body to the result of performing the read operation on blob.
   8. ~RET %応答 ◎ Return response.
2. 前~段が`中止されたときは$ ⇒ ~RET 終了-時の `中止~flag^i に応じて ⇒＃ ~ON ならば `中止~network~error$ ／ ~OFF ならば `~network~error$ ◎ If aborted, then: • Let aborted be the termination’s aborted flag. • If aborted is set, then return an aborted network error. • Return a network error.

`data^l

1. %~dataURL構造体 ~LET `~data_URL処理器$( %要請 の`現在の~URL$rq ) ◎ Let dataURLStruct be the result of running the data: URL processor on request’s current URL.
2. ~IF［ %~dataURL構造体 ~EQ `失敗^i ］ ⇒ ~RET `~network~error$ ◎ If dataURLStruct is failure, then return a network error.
3. %応答 ~LET 次のように設定された，新たな`応答$ ⇒＃ `~status~message$rs ~SET `OK^bl, `~header~list$rs ~SET « `新たな~header$( `Content-Type$h / `~MIME型を~byte列に直列化する$( %~dataURL構造体 の`~MIME型$dU ) ) », `本体$rs ~SET %~dataURL構造体 の`本体$dU ◎ Return a response whose status message is `OK`, header list consist of a single header whose name is `Content-Type` and value is dataURLStruct’s MIME type, serialized, body is dataURLStruct’s body,＼
4. ~IF［ %要請 の`~client$rq ~NEQ ~NULL ］ ⇒ %応答 の`~HTTPS状態$rs ~SET %要請 の`~client$rqの`~HTTPS状態$enV ◎ and HTTPS state is request’s client’s HTTPS state if request’s client is non-null.
5. ~RET %応答 ◎ ↑

`file^l

今の所、あいにく file `~URL$については， `left as an exercise for the reader^en である。 【実装に委ねられる】 ◎ For now, unfortunate as it is, file URLs are left as an exercise for the reader.

疑わしい場合は`~network~error$を返すこと。 ◎ When in doubt, return a network error.

`ftp^l

今の所、あいにく ftp `~URL$については，ほぼ `left as an exercise for the reader^en である。 ◎ For now, unfortunate as it is, ftp URLs are mostly left as an exercise for the reader.

1. %本体 ~LET ~FTPを介して~network越しに %要請 の`現在の~URL$rqから内容を得た結果 `RFC959$r ◎ Let body be the result of the user agent obtaining content from request’s current URL from the network via FTP. [RFC959]
2. %~MIME型 ~LET `application/octet-stream^bl ◎ Let mime be `application/octet-stream`.
3. ~IF［ %本体 は，~UAが，~FTPの `LIST^c ~commandの結果~用に［ ~directoryを~listする~page ］を生成した結果である ］ ⇒ %~MIME型 ~SET `text/ftp-dir^bl ◎ If body is the result of the user agent generating a directory listing page for the result of FTP’s LIST command, then set mime to `text/ftp-dir`.
4. ~RET 次のようにされた`応答$ ⇒＃ `~status~message$rs ~SET `OK^bl, `~header~list$rs ~SET « `新たな~header$( `Content-Type^bl / %~MIME型 ) », `本体$rs ~SET %本体, `~HTTPS状態$rs ~SET `none^l ◎ Return a response whose status message is `OK`, header list consists of a single header whose name is `Content-Type` and whose value is mime, body is body, and HTTPS state is "none".

疑わしい場合は`~network~error$を返すこと。 ◎ When in doubt, return a network error.

`~HTTP_S~scheme$

~RET `~HTTP~fetch$( %要請 ) を遂行した結果 ◎ Return the result of performing an HTTP fetch using request.

~OTHER ◎ Otherwise

~RET `~network~error$ ◎ Return a network error.

4.3. ~HTTP~fetch

`~HTTP~fetch@ を遂行するときは、所与の ( %要請, %~CORS~flag ~IN { `~CORSあり^i, ε }（省略時は ε ）, %~CORS予行~flag ~IN { `予行あり^i, ε }（省略時は ε ） ) に対し，次の手続きを走らす： ◎ To perform an HTTP fetch using request with an optional CORS flag and CORS-preflight flag, run these steps:

注記： %~CORS~flag は、ここでも内部状態管理に用いられる。 %~CORS予行~flag も同様であり、非 ε（ `予行あり^i ）ならば`~CORS予行~要請$が必要になることを指示する。 ◎ CORS flag is still a bookkeeping detail. As is CORS-preflight flag; it indicates a CORS-preflight request is needed.

1. %応答 ~LET ~NULL ◎ Let response be null.
2. %実-応答 ~LET ~NULL ◎ Let actualResponse be null.

3. ~IF［ %要請 の`~sw~mode$rq ~EQ `all^l ］： ◎ If request’s service-workers mode is "all", then:

   1. %応答 ~SET %要請 に対し ~fetchを取扱った 結果 `HTML$r `SW$r ◎ Set response to the result of invoking handle fetch for request. [HTML] [SW]

   2. ~IF［ %応答 ~NEQ ~NULL ］： ◎ If response is not null, then:

      1. `要請~用の本体を伝送する$( %要請 ) ◎ Transmit body for request.
      2. %実-応答 ~SET ［ %応答 は`絞込み応答$でないならば %応答 ／ ~ELSE_ %応答 の`内部~応答$ ］ ◎ Set actualResponse to response, if response is not a filtered response, and to response’s internal response otherwise.

      3. ~IF［ 次のいずれかが満たされる ］…： ◎ If one of the following is true

         • %応答 の`種別$rs ~EQ `error^l ◎ response’s type is "error"
         • ［ %要請 の`~mode$rq ~EQ `same-origin^l ］~AND［ %応答 の`種別$rs ~EQ `cors^l ］ ◎ request’s mode is "same-origin" and response’s type is "cors"
         • ［ %要請 の`~mode$rq ~NEQ `no-cors^l ］~AND［ %応答 の`種別$rs ~EQ `opaque^l ］ ◎ request’s mode is not "no-cors" and response’s type is "opaque"
         • ［ %要請 の`~redirect~mode$rq ~NEQ `manual^l ］~AND［ %応答 の`種別$rs ~EQ `opaqueredirect^l ］ ◎ request’s redirect mode is not "manual" and response’s type is "opaqueredirect"
         • ［ %要請 の`~redirect~mode$rq ~NEQ `follow^l ］~AND［ %応答 の`~URL~list$rs内に複数の~itemがある ］ ◎ request’s redirect mode is not "follow" and response’s URL list has more than one item.

         …ならば ⇒ ~RET `~network~error$： ◎ then return a network error.

4. ~IF［ %応答 ~EQ ~NULL ］： ◎ If response is null, then:

   1. ~IF［ %~CORS予行~flag ~EQ `予行あり^i ］~AND［ 次のいずれかが満たされる ］…： ◎ If the CORS-preflight flag is set and one of these conditions is true:

      • ［ `~methodも合致している~cache~entry$( %要請, %要請 の`~method$rq ) は空である ］~AND［ %要請 は、次のいずれかを満たす ］：

        • `~method$rqは `~CORS安全とされる~method$でない
        • `~CORS予行~利用~flag$rq ~EQ ~ON
        ◎ There is no method cache entry match for request’s method using request, and either request’s method is a not a CORS-safelisted method or request’s use-CORS-preflight flag is set.
      • `~CORS非安全な要請~header名たち$( %要請 の`~header~list$rq ) 内のある名前に対し ⇒ `~header名も合致している~cache~entry$( %要請, 名前 ) は空である ◎ There is at least one item in the CORS-unsafe request-header names with request’s header list for which there is no header-name cache entry match using request.

      …ならば： ◎ Then:

      1. %予行~応答 ~LET `~CORS予行~fetch$( %要請 ) を遂行した結果 ◎ Let preflightResponse be the result of performing a CORS-preflight fetch using request.
      2. ~IF［ %予行~応答 は`~network~error$である ］ ⇒ ~RET %予行~応答 ◎ If preflightResponse is a network error, then return preflightResponse.

      注記： この段は、`~CORS予行~cache$を検査した上で，相応しい~entryがなければ`~CORS予行~fetch$を遂行し、成功したならば この~cacheを拡充する。 `~CORS予行~fetch$の目的は、`~fetch$された資源が`~CORS~protocol$下に~~置かれることを確保することである。 この~cacheは、`~CORS予行~fetch$の回数を最小化するためにある。 ◎ This step checks the CORS-preflight cache and if there is no suitable entry it performs a CORS-preflight fetch which, if successful, populates the cache. The purpose of the CORS-preflight fetch is to ensure the fetched resource is familiar with the CORS protocol. The cache is there to minimize the number of CORS-preflight fetches.

   2. ~IF［ %要請 の`~redirect~mode$rq ~EQ `follow^l ］ ⇒ %要請 の`~sw~mode$rq ~SET `none^l ◎ If request’s redirect mode is "follow", then set request’s service-workers mode to "none".

      注記： （~swとは~~対照的に）~networkから来る~redirectは、~swには公開されない。 ◎ Redirects coming from the network (as opposed to from a service worker) are not to be exposed to a service worker.

   3. %実-応答 ~SET `~HTTP~network-or-cache~fetch$( %要請, %~CORS~flag ) を遂行した結果 ◎ Set response and actualResponse to the result of performing an HTTP-network-or-cache fetch using request with CORS flag if set.
   4. %応答 ~SET %実-応答 ◎ ↑

   5. ~IF［ %~CORS~flag ~NEQ ε ］~AND［ `~CORS検査$( %要請, %応答 ) ~EQ `失敗^i ］ ⇒ ~RET `~network~error$ ◎ If CORS flag is set and a CORS check for request and response returns failure, then return a network error.

      注記： `~CORS検査$は、［ `~status$rs ~IN { `304$st, `407$st } なる`応答$ ／ それが~~懸案になる~swからの`応答$ ］には適用されないので、ここで適用される。 ◎ As the CORS check is not to be applied to responses whose status is 304 or 407, or responses from a service worker for that matter, it is applied here.

5. ~IF［ %実-応答 の`~status$rsは`~redirect~status$である ］： ◎ If actualResponse’s status is a redirect status, then:

   1. ~IF［ %実-応答 の`~status$rs ~NEQ `303$st ］~AND［ %要請 の`本体$rq ~NEQ ~NULL ］~AND［ `接続$は~HTTP2を利用している ］ ⇒ ~UAは `RST_STREAM^c ~frameを伝送してもヨイ — また，そうすることが奨励される。 ◎ If actualResponse’s status is not 303, request’s body is not null, and the connection uses HTTP/2, then user agents may, and are even encouraged to, transmit an RST_STREAM frame.

      注記： ある種の~communityにおいては、 `303$st は特別な~statusに帰するとみなされ，除外される。 ◎ 303 is excluded as certain communities ascribe special status to it.

   2. %所在 ~LET `~header~listから値を抽出する$( %実-応答 の`~header~list$rs, `Location$h ) ◎ Let location be the result of extracting header list values given `Location` and actualResponse’s header list.
   3. ~IF［ %所在 は`値$hdである ］ ⇒ %所在 ~SET `~URL構文解析する$( %所在, %実-応答 の`~URL$rs ) ◎ If location is a value, then set location to the result of parsing location with actualResponse’s URL.
   4. %実-応答 の`~Location~header~URL$rs ~SET %所在 ◎ Set actualResponse’s location URL to location.

   5. %要請 の`~redirect~mode$rq に応じて： ◎ Switch on request’s redirect mode:

      `error^l

      %応答 ~SET `~network~error$ ◎ Set response to a network error.

      `manual^l

      %応答 ~SET `内部~応答$が %実-応答 にされた，`不透明redirect絞込み応答$ ◎ Set response to an opaque-redirect filtered response whose internal response is actualResponse.

      `follow^l

      %応答 ~SET `~HTTP~redirect~fetch$( %要請, %応答, %~CORS~flag ) を遂行した結果 ◎ Set response to the result of performing HTTP-redirect fetch using request and response with CORS flag if set.

6. ~RET %応答 ◎ Return response.＼

   注記： 手続きはここで終わるが，その後も概して、 %実-応答 の`本体$rsの`~stream$bdには，~byte列が~enqueueされ続ける。 ◎ Typically actualResponse’s body’s stream is still being enqueued to after returning.

4.4. ~HTTP~redirect~fetch

注記： この~algoは、上述の`~HTTP~fetch$に加えて，~HTMLの`~navigate~algo$からも利用される。 `HTML$r ◎ This algorithm is used by HTML’s navigate algorithm in addition to HTTP fetch above. [HTML]

`~HTTP~redirect~fetch@ を遂行するときは、所与の ( %要請, %応答, %~CORS~flag ~IN { `~CORSあり^i, ε }（省略時は ε ） ) に対し，次の手続きを走らす： ◎ To perform an HTTP-redirect fetch using request and response, with an optional CORS flag, run these steps:

1. %実-応答 ~LET ［ %応答 は`絞込み応答$でないならば %応答 ／ ~ELSE_ %応答 の`内部~応答$ ］ ◎ Let actualResponse be response, if response is not a filtered response, and response’s internal response otherwise.
2. %所在 ~LET %実-応答 の`~Location~header~URL$rs ◎ ↓
3. ~IF［ %所在 ~EQ ~NULL ］ ⇒ ~RET %応答 ◎ If actualResponse’s location URL is null, then return response.
4. ~IF［ %所在 ~EQ `失敗^i ］ ⇒ ~RET `~network~error$ ◎ If actualResponse’s location URL is failure, then return a network error.
5. ~IF［ %所在 の`~scheme$urlは`~HTTP_S~scheme$でない ］ ⇒ ~RET `~network~error$ ◎ If actualResponse’s location URL’s scheme is not an HTTP(S) scheme, then return a network error.
6. ~IF［ %要請 の`~redirect数$rq ~EQ 20 ］ ⇒ ~RET `~network~error$ ◎ If request’s redirect count is twenty, return a network error.
7. %要請 の`~redirect数$rq ~INCBY 1 ◎ Increase request’s redirect count by one.
8. ~IF［ %要請 の`~mode$rq ~EQ `cors^l ］~AND［ %所在 は`資格証を含む$url ］~AND［［ %要請 の`~tainted生成元~flag$rq ~EQ ~ON ］~OR［ ( %要請 の`生成元$rq, %所在 の`生成元$url ) は`同一-生成元$でない ］］ ⇒ ~RET `~network~error$ ◎ If request’s mode is "cors", actualResponse’s location URL includes credentials, and either request’s tainted origin flag is set or request’s origin is not same origin with actualResponse’s location URL’s origin, then return a network error.

9. ~IF［ %~CORS~flag ~NEQ ε ］~AND［ %所在 は`資格証を含む$url ］ ⇒ ~RET `~network~error$ ◎ If CORS flag is set and actualResponse’s location URL includes credentials, then return a network error.

   注記： これは、非同一-生成元~資源による同一-生成元~URLへの~redirectを捕える。 ◎ This catches a cross-origin resource redirecting to a same-origin URL.

10. ~IF［ %実-応答 の`~status$rs ~NEQ `303$st ］~AND［ %要請 の`本体$rq ~NEQ ~NULL ］~AND［ %要請 の`本体$rqの`~source$bd ~EQ ~NULL ］ ⇒ ~RET `~network~error$ ◎ If actualResponse’s status is not 303, request’s body is non-null, and request’s body’s source is null, then return a network error.
11. ~IF［ ( %所在 の`生成元$url, %要請 の`現在の~URL$rqの`生成元$rq ) は`同一-生成元$でない ］~AND［ ( %要請 の`生成元$url, %要請 の`現在の~URL$rqの`生成元$rq ) は`同一-生成元$でない ］ ⇒ %要請 の`~tainted生成元~flag$rq ~SET ~ON ◎ If actualResponse’s location URL’s origin is not same origin with request’s current URL’s origin and request’s origin is not same origin with request’s current URL’s origin, then set request’s tainted origin flag.
12. ~IF［［ %実-応答 の`~status$rs ~IN { `301$st, `302$st } ］~AND［ %要請 の`~method$rq ~EQ `POST$hm ］］~OR［［ %実-応答 の`~status$rs ~EQ `303$st ］~AND［ %要請 の`~method$rq ~NEQ `HEAD$hm ］］ ⇒＃ %要請 の`~method$rq ~SET `GET$hm； %要請 の`本体$rq ~SET ~NULL ◎ If one of the following is true • actualResponse’s status is 301 or 302 and request’s method is `POST` • actualResponse’s status is 303 and request’s method is not `HEAD` then set request’s method to `GET` and request’s body to null.

13. ~IF［ %要請 の`本体$rq ~NEQ ~NULL ］ ⇒ %要請 の`本体$rq ~SET ［ `本体と内容~型を安全に抽出する$( %要請 の`本体$rqの`~source$bd ) ］の結果の`本体$ ◎ If request’s body is non-null, then set request’s body to the first return value of safely extracting request’s body’s source.

    注記： `~source$bdが ~NULL でないことは、すでに検査~済み。 ◎ request’s body’s source’s nullity has already been checked.

14. %要請 の`~URL~list$rqに %所在 を付加する ◎ Append actualResponse’s location URL to request’s URL list.
15. `~referrer施策を設定する$( %要請, %実-応答 ) `REFERRER$r ◎ Invoke set request’s referrer policy on redirect on request and actualResponse. [REFERRER]

16. ~RET `~main~fetch$( %要請, %~CORS~flag, ［ %要請 の`~redirect~mode$rq ~NEQ `manual^l ならば `再帰あり^i ／ ~ELSE_ ε ］ ) を遂行した結果 ◎ Return the result of performing a main fetch using request with • CORS flag if set and • recursive flag set if request’s redirect mode is not "manual".

    注記： `manual^l になるのは、~HTMLの`~navigate~algo$から直に呼出されたときに限られる。 ◎ It can only be "manual" when invoked directly from HTML’s navigate algorithm.

    注記： `応答~tainting$rqが正しくなるように`~main~fetch$を呼出す必要がある。 ◎ This has to invoke main fetch to get response tainting correct.

4.5. ~HTTP~network-or-cache~fetch

`~HTTP~network-or-cache~fetch@ を遂行するときは、所与の ( %要請, %~CORS~flag ~IN { `~CORSあり^i, ε }（省略時は ε ）, %認証~fetch~flag ~IN { `認証あり^i, ε }（省略時は ε ） ) に対し，次の手続きを走らす： ◎ To perform an HTTP-network-or-cache fetch using request with an optional CORS flag and authentication-fetch flag, run these steps:

注記： %~CORS~flag, %認証~fetch~flag は、ここでも内部状態管理に用いられる。 ◎ CORS flag is still a bookkeeping detail. As is authentication-fetch flag.

注記： `HTTP Range Requests^cite `HTTP-RANGE$r にしたがって，`部分的~内容$の~cache法を~supportする実装もあるが、~browser~cacheからは広く~supportされていない。 ◎ Some implementations might support caching of partial content, as per HTTP Range Requests. [HTTP-RANGE] However, this is not widely supported by browser caches.

1. %~http要請 ~LET ~NULL ◎ Let httpRequest be null.
2. %応答 ~LET ~NULL ◎ Let response be null.
3. %格納-済み応答 ~LET ~NULL ◎ Let storedResponse be null.
4. %再検証~flag ~LET ~OFF ◎ Let the revalidatingFlag be unset.

5. この段の中は、進行中の~fetchが`終了され$た`ときは中止する$： ◎ Run these steps, but abort when the ongoing fetch is terminated:

   1. ~IF［ %要請 の`~window$rq ~EQ `no-window^l ］~AND［ %要請 の`~redirect~mode$rq ~EQ `error^l ］ ⇒ %~http要請 ~SET %要請 ◎ If request’s window is "no-window" and request’s redirect mode is "error", then set httpRequest to request.

   2. ~ELSE： ◎ Otherwise:

      1. %~http要請 ~SET %要請 の`本体$rqを除いた部分の複製 ◎ Set httpRequest to a copy of request except for its body.
      2. %本体 ~LET %要請 の`本体$rq ◎ Let body be request’s body.
      3. %~http要請 の`本体$rq ~SET %本体 ◎ Set httpRequest’s body to body.
      4. ~IF［ %本体 ~NEQ ~NULL ］ ⇒ %要請 の`本体$rq ~SET 次のようにされた新たな`本体$ ⇒＃ `~stream$bd ~SET ~NULL； `~source$bd ~SET %本体 の`~source$bd ◎ If body is non-null, then set request’s body to a new body whose stream is null and whose source is body’s source.

      注記： %要請 は複製される — ここでの %~http要請 は、 %要請 に影響させずに， ~headerを追加できたり, その`本体$rqを読取れるようにする必要があるので。 すなわち、 %要請 は［ ~redirect ／ 認証 ／ ~proxy認証 ］にて再利用できる。 また，~memory消費を抑制するため、~cloneせずに複製する。 ［ %要請 の`本体$rqの`~source$bd ~EQ ~NULL ］の事例で［ ~redirect ／ 認証 ］が生じた場合、~fetchは失敗することになる。 ◎ request is copied as httpRequest here as we need to be able to add headers to httpRequest and read its body without affecting request. Namely, request can be reused with redirects, authentication, and proxy authentication. We copy rather than clone in order to reduce memory consumption. In case request’s body’s source is null, redirects and authentication will end up failing the fetch.

   3. %資格証~flag ~LET ［ 次のいずれかが満たされるならば ~ON ／ ~ELSE_ ~OFF ］： ◎ Let credentials flag be set if one of

      • %要請 の`資格証~mode$rq ~EQ `include^l ◎ request’s credentials mode is "include"
      • ［ %要請 の`資格証~mode$rq ~EQ `same-origin^l ］~AND［ `応答~tainting$rq ~EQ `basic^l ］ ◎ request’s credentials mode is "same-origin" and request’s response tainting is "basic"

      　 ◎ is true, and unset otherwise.

   4. %Content-Length値 ~LET ~NULL ◎ Let contentLengthValue be null.
   5. ~IF［ %~http要請 の`本体$rq ~EQ ~NULL ］~AND［ %~http要請 の`~method$rq ~IN { `POST$hm, `PUT$hm } ］ ⇒ %Content-Length値 ~SET `0^bl ◎ If httpRequest’s body is null and httpRequest’s method is `POST` or `PUT`, then set contentLengthValue to `0`.
   6. ~IF［ %~http要請 の`本体$rq ~NEQ ~NULL ］~AND［ %~http要請 の`本体$rqの`~source$bd ~NEQ ~NULL ］ ⇒ %Content-Length値 ~SET `同型に符号化する$( `整数を直列化する$( %~http要請 の`本体$rqの`総~byte数$bd ) ) ◎ If httpRequest’s body is non-null and httpRequest’s body’s source is non-null, then set contentLengthValue to httpRequest’s body’s total bytes, serialized and isomorphic encoded.
   7. ~IF［ %Content-Length値 ~NEQ ~NULL ］ ⇒ %~http要請 の`~header~list$rqに`~headerを付加する$( `Content-Length$h / %Content-Length値 ) ◎ If contentLengthValue is non-null, append `Content-Length`/contentLengthValue to httpRequest’s header list.

   8. ~IF［ %Content-Length値 ~NEQ ~NULL ］~AND［ %~http要請 の`~keepalive~flag$rq ~EQ ~ON ］： ◎ If contentLengthValue is non-null and httpRequest’s keepalive flag is set, then:

      1. %~inflight~keepalive~byte数 ~LET 0 ◎ Let inflightKeepaliveBytes be zero.
      2. %~group ~LET %~http要請 の`~client$rqの`~fetch~group$ ◎ Let group be httpRequest’s client’s fetch group.
      3. %~inflight記録~list ~LET ［ %~group 内の`~fetch記録$のうち，その`要請$fgが次を満たすもの ］からなる同順の~list ⇒ ［ `~keepalive~flag$rq ~EQ ~ON ］~AND［ `~done~flag$rq ~EQ ~OFF ］ ◎ Let inflightRecords be the set of fetch records in group whose request has its keepalive flag set and done flag unset.

      4. %~inflight記録~list 内の ~EACH( %~fetch記録 ) に対し： ◎ For each fetchRecord in inflightRecords:

         1. %~inflight要請 ~LET %~fetch記録 の`要請$fg ◎ Let inflightRequest be fetchRecord’s request.
         2. %~inflight~keepalive~byte数 ~INCBY %~inflight要請 の`本体$rqの`総~byte数$bd ◎ Increment inflightKeepaliveBytes by inflightRequest’s body’s total bytes.

      5. ~IF［ ( %Content-Length値 ~PLUS %~inflight~keepalive~byte数 ) ~GT 64 KiB ］ ⇒ ~RET `~network~error$ ◎ If the sum of contentLengthValue and inflightKeepaliveBytes is greater than 64 kibibytes, then return a network error.

         注記： この~~上限 64 KiB 【 `kibibyte^en — 1024 ~byte単位】は、［ `環境~設定群~obj$の外で残存することが許容され, 本体を包含する要請 【~CSP違反~報告など】 ］に対し、その~sizeには上限があり，要請が不定期に残り続けないことを確保するためにある。 ◎ The above limit ensures that requests that are allowed to outlive the environment settings object and contain a body, have a bounded size and are not allowed to stay alive indefinitely.

   9. ~IF［ %~http要請 の`~referrer$rqは`~URL$である ］ ⇒ %~http要請 の`~header~list$rqに`~headerを付加する$( `Referer$h / 次の結果 ) ⇒ `同型に符号化する$( `~URLを直列化する$( %~http要請 の`~referrer$rq ) ) ◎ If httpRequest’s referrer is a URL, then append `Referer`/httpRequest’s referrer, serialized and isomorphic encoded, to httpRequest’s header list.
   10. ~IF［ %~CORS~flag ~NEQ ε ］~OR［ %~http要請 の`~method$rq ~NIN { `GET$hm, `HEAD$hm } ］~OR［ %~http要請 の`~mode$rq ~EQ `websocket^l ］ ⇒ %~http要請 の`~header~list$rqに`~headerを付加する$( `Origin$h / `要請の生成元を直列化する$( %~http要請 ) ) ◎ If the CORS flag is set, httpRequest’s method is neither `GET` nor `HEAD`, or httpRequest’s mode is "websocket", then append `Origin`/the result of serializing a request origin with httpRequest, to httpRequest’s header list.
   11. ~IF［ %~http要請 の`~header~list$rq内に［ `User-Agent$h を`名前に持つ~header$ ］は無い ］ ⇒ ~UAは、次を行うベキである ⇒ %~http要請 の`~header~list$rqに`~headerを付加する$( `User-Agent$h / `既定の User-Agent 値$ ) ◎ If httpRequest’s header list does not contain `User-Agent`, then user agents should append `User-Agent`/default `User-Agent` value to httpRequest’s header list.
   12. ~IF［ %~http要請 の`~cache~mode$rq ~EQ `default^l ］~AND［ %~http要請 の`~header~list$rq内に［ `If-Modified-Since$h ／ `If-None-Match$h ／ `If-Unmodified-Since$h ／ `If-Match$h ／ `If-Range$h ］を`名前に持つ~header$は在る ］ ⇒ %要請 の`~cache~mode$rq ~SET `no-store^l ◎ If httpRequest’s cache mode is "default" and httpRequest’s header list contains `If-Modified-Since`, `If-None-Match`, `If-Unmodified-Since`, `If-Match`, or `If-Range`, then set httpRequest’s cache mode to "no-store".
   13. ~IF［ %~http要請 の`~cache~mode$rq ~EQ `no-cache^l ］~AND［ %~http要請 の`~header~list$rq内に［ `Cache-Control$h を`名前に持つ~header$ ］は無い ］ ⇒ %~http要請 の`~header~list$rqに`~headerを付加する$( `Cache-Control$h / `max-age=0^bl ) ◎ If httpRequest’s cache mode is "no-cache" and httpRequest’s header list does not contain `Cache-Control`, then append `Cache-Control`/`max-age=0` to httpRequest’s header list.

   14. ~IF［ %~http要請 の`~cache~mode$rq ~IN { `no-store^l, `reload^l } ］： ◎ If httpRequest’s cache mode is "no-store" or "reload", then:

       1. ~IF［ %~http要請 の`~header~list$rq内に［ `Pragma$h を`名前に持つ~header$ ］は無い ］ ⇒ %~http要請 の`~header~list$rqに`~headerを付加する$( `Pragma$h / `no-cache^bl ) ◎ If httpRequest’s header list does not contain `Pragma`, then append `Pragma`/`no-cache` to httpRequest’s header list.
       2. ~IF［ %~http要請 の`~header~list$rq内に［ `Cache-Control$h を`名前に持つ~header$ ］は無い ］ ⇒ %~http要請 の`~header~list$rqに`~headerを付加する$( `Cache-Control$h / `no-cache^bl ) ◎ If httpRequest’s header list does not contain `Cache-Control`, then append `Cache-Control`/`no-cache` to httpRequest’s header list.

   15. ~IF［ %~http要請 の`~header~list$rq内に［ `Range$h を`名前に持つ~header$ ］は在る ］ ⇒ %~http要請 の`~header~list$rqに`~headerを付加する$( `Accept-Encoding$h / `identity^bl ) ◎ If httpRequest’s header list contains `Range`, then append `Accept-Encoding`/`identity` to httpRequest’s header list.

       注記： これは、符号化された`応答$の ある部位に対し `内容~符号法sを取扱う$ときの失敗を避ける。 ◎ This avoids a failure when handling content codings with a part of an encoded response.

       加えて， 多くの~server は、［ `identity^bl でない符号化法を受容する場合には、 `Range$h ~headerは無視する ］ものと誤認している。 ◎ Additionally, many servers mistakenly ignore `Range` headers if a non-identity encoding is accepted.

   16. ~HTTPに則って %~http要請 の`~header~list$rqを改変する — %~http要請 の`~header~list$rq内に［ 所与の`~header$の`名前$hdを`名前に持つ~header$ ］が在る場合には、それを 付加-しないこと。 ◎ Modify httpRequest’s header list per HTTP. Do not append a given header if httpRequest’s header list contains that header’s name.

       注記： この段は、何かもっと規範的な形にしたい。 次に挙げる`~header$などは、この時点で必要に応じて 付加される ⇒ `Accept-Encoding$h, `Connection$h, `DNT^h, `Host$h ◎ It would be great if we could make this more normative somehow. At this point headers such as `Accept-Encoding`, `Connection`, `DNT`, and `Host`, are to be appended if necessary.

       この時点では、次に挙げる`~header$は含ませないモノトスル ⇒ `Accept$h, `Accept-Charset$h, `Accept-Language$h ◎ `Accept`, `Accept-Charset`, and `Accept-Language` must not be included at this point.

       注記： `Accept$h, `Accept-Language$h は、すでに含められている（ `fetch()$m が利用されていない限り — それは、既定では後者を含めない）。 また、 `Accept-Charset$h を含めても，~byte列を浪費するだけである。 詳細は、 ~HTTP~header層の区分 を見よ。 ◎ `Accept` and `Accept-Language` are already included (unless fetch() is used, which does not include the latter by default), and `Accept-Charset` is a waste of bytes. See HTTP header layer division for more details.

   17. `(A)^i：
       ~IF［ %資格証~flag ~EQ ~ON ］： ◎ If credentials flag is set, then:

       1. ~IF［ ~UAは %~http要請 用の~cookieを阻止するように環境設定されていない（ `COOKIES$r の 7 節 を見よ） ］： ◎ If the user agent is not configured to block cookies for httpRequest (see section 7 of [COOKIES]), then:

          1. %~cookie ~LET ( ~UAの~cookie保管庫, %~http要請 の`現在の~URL$rq ) を与える下で "cookie-string" ~algo（ `COOKIES$r の 5.4 節 ）を走らせた結果 ◎ Let cookies be the result of running the "cookie-string" algorithm (see section 5.4 of [COOKIES]) with the user agent’s cookie store and httpRequest’s current URL.
          2. ~IF［ %~cookie ~NEQ 空~文字列 ］ ⇒ %~http要請 の`~header~list$rqに`~headerを付加する$( `Cookie$h / %~cookie ) ◎ If cookies is not the empty string, append `Cookie`/cookies to httpRequest’s header list.
       2. ~IF［ %~http要請 の`~header~list$rq内に［ `Authorization$h を`名前に持つ~header$ ］は在る ］ ⇒ ~BREAK `(A)^i ◎ If httpRequest’s header list does not contain `Authorization`, then:
       3. %権限付与~値 ~LET ~NULL ◎ Let authorizationValue be null.
       4. ~IF［ %~http要請 用の`認証~entry$は在る ］~AND［［ %~http要請 の`資格証利用URL~flag$rq ~EQ ~OFF ］~OR［ %~http要請 の`現在の~URL$rqに 資格証は含まれていない ］］ ⇒ %権限付与~値 ~SET `認証~entry$ ◎ If there’s an authentication entry for httpRequest and either httpRequest’s use-URL-credentials flag is unset or httpRequest’s current URL does not include credentials, then set authorizationValue to authentication entry.
       5. ~ELIF［ %~http要請 の`現在の~URL$rqに 資格証は含まれている ］~AND［ %認証~fetch~flag ~NEQ ε ］ ⇒ %権限付与~値 ~SET %~http要請 の`現在の~URL$rqを `Authorization$h 値に変換- した結果 ◎ Otherwise, if httpRequest’s current URL does include credentials and authentication-fetch flag is set, set authorizationValue to httpRequest’s current URL, converted to an `Authorization` value.
       6. ~IF［ %権限付与~値 ~NEQ ~NULL ］ ⇒ %~http要請 の`~header~list$rqに`~headerを付加する$( `Authorization$h / %権限付与~値 ) ◎ If authorizationValue is non-null, then append `Authorization`/authorizationValue to httpRequest’s header list.

   18. `~proxy認証~entry$がある場合、それを適切に利用する ◎ If there’s a proxy-authentication entry, use it as appropriate.

       注記： ここでは意図的に %~http要請 の`資格証~mode$rqに依存しないようにされている。 ◎ This intentionally does not depend on httpRequest’s credentials mode.

   19. `(B)^i：
       ~IF［ %~http要請 の`~cache~mode$rq ~NIN { `no-store^l, `reload^l } ］： ◎ If httpRequest’s cache mode is neither "no-store" nor "reload", then:

       1. %格納-済み応答 ~SET ~HTTP~cacheから応答を選定した結果 ⇒ ~IF［ 該当する応答はない ］ ⇒ ~BREAK `(B)^i ◎ Set storedResponse to the result of selecting a response from the HTTP cache, possibly needing validation, as per the "Constructing Responses from Caches" chapter of HTTP Caching [HTTP-CACHING], if any.

          注記： ~HTTPにより義務付けられているように、これには，依然として `Vary$h `~header$も織り込まれる。 ◎ As mandated by HTTP, this still takes the `Vary` header into account.

       2. ~IF［ %格納-済み応答 には検証が要求される（すなわち，新鮮でない） ］ ⇒ %再検証~flag ~SET ~ON ◎ ↑If storedResponse is non-null, then: ◎ If storedResponse requires validation (i.e., it is not fresh), then set the revalidatingFlag.

       3. ~IF［ %再検証~flag ~EQ ~ON ］~AND［ %~http要請 の`~cache~mode$rq ~NIN { `force-cache^l, `only-if-cached^l } ］： ◎ If the revalidatingFlag is set and httpRequest’s cache mode is neither "force-cache" nor "only-if-cached", then:

          1. ~IF［ %格納-済み応答 の`~header~list$rs内に［ `ETag$h を`名前に持つ~header$ ］は在る ］ ⇒ %~http要請 の`~header~list$rqに`~headerを付加する$( `If-None-Match$h / その~headerの`値$hd ) ◎ If storedResponse’s header list contains `ETag`, then append `If-None-Match` with its value to httpRequest’s header list.
          2. ~IF［ %格納-済み応答 の`~header~list$rs内に［ `Last-Modified$h を`名前に持つ~header$ ］は在る ］ ⇒ %~http要請 の`~header~list$rqに`~headerを付加する$( `If-Modified-Since$h / その~headerの`値$hd ) ◎ If storedResponse’s header list contains `Last-Modified`, then append `If-Modified-Since` with its value to httpRequest’s header list.

          注記： `HTTP Caching^cite の 検証~要請の送信-法 も見よ。 `HTTP-CACHING$r ◎ See also the "Sending a Validation Request" chapter of HTTP Caching [HTTP-CACHING].

       4. ~ELSE ⇒＃ %応答 ~SET %格納-済み応答； %応答 の`~cache状態$rs ~SET `local^l ◎ Otherwise, set response to storedResponse and set response’s cache state to "local".
6. 前~段が`中止されたときは$ ⇒ ~RET 終了-時の `中止~flag^i に応じて ⇒＃ ~ON ならば `中止~network~error$ ／ ~OFF ならば `~network~error$ ◎ If aborted, then: • Let aborted be the termination’s aborted flag. • If aborted is set, then return an aborted network error. • Return a network error.

7. ~IF［ %応答 ~EQ ~NULL ］： ◎ If response is null, then:

   1. ~IF［ %~http要請 の`~cache~mode$rq ~EQ `only-if-cached^l ］ ⇒ ~RET `~network~error$ ◎ If httpRequest’s cache mode is "only-if-cached", then return a network error.
   2. %~forward応答 ~LET `~HTTP~network~fetch$( %~http要請, %資格証~flag ) を遂行した結果 ◎ Let forwardResponse be the result of making an HTTP-network fetch using httpRequest with credentials flag if set.
   3. ~IF［ %~http要請 の`~method$rqは 安全でない ］~AND［ %~forward応答 の`~status$rs ~IN { `200^st 〜 `399^st } ］ ⇒＃ `HTTP Caching^cite による 無効化にしたがって，~HTTP~cache内の適切な格納-済み応答たちを無効化する `HTTP-CACHING$r； %格納-済み応答 ~SET ~NULL ◎ If httpRequest’s method is unsafe and forwardResponse’s status is in the range 200 to 399, inclusive, invalidate appropriate stored responses in the HTTP cache, as per the "Invalidation" chapter of HTTP Caching, and set storedResponse to null. [HTTP-CACHING]

   4. ~IF［ %再検証~flag ~EQ ~ON ］~AND［ %~forward応答 の`~status$rs ~EQ `304$st ］： ◎ If the revalidatingFlag is set and forwardResponse’s status is 304, then:

      1. `HTTP Caching^cite による 検証にあたっての，格納-済み応答の新鮮化-法 にしたがって， %~forward応答 の`~header~list$rsを用いて %格納-済み応答 の`~header~list$rsを更新する `HTTP-CACHING$r ◎ Update storedResponse’s header list using forwardResponse’s header list, as per the "Freshening Stored Responses upon Validation" chapter of HTTP Caching. [HTTP-CACHING]

         注記： これは、~cache内の格納-済み応答も更新する。 ◎ This updates the stored response in cache as well.

      2. %応答 ~SET %格納-済み応答 ◎ Set response to storedResponse.

   5. ~IF［ %応答 ~EQ ~NULL ］： ◎ If response is null, then:

      1. %応答 ~SET %~forward応答 ◎ Set response to forwardResponse.

      2. `HTTP Caching^cite による ~cache内への応答の格納-法 にしたがって，~HTTP~cache内に［ %~http要請, %~forward応答 ］を格納する `HTTP-CACHING$r ◎ Store httpRequest and forwardResponse in the HTTP cache, as per the "Storing Responses in Caches" chapter of HTTP Caching. [HTTP-CACHING]

         注記： %~forward応答 が`~network~error$である場合、これは実質的に，その~network~errorを~cacheする — それは “負の~cache法（ `negative caching^en ）” と称されることもある。 ◎ If forwardResponse is a network error, this effectively caches the network error, which is sometimes known as "negative caching".

8. ~IF［ %~http要請 の`~header~list$rq内に［ `Range$h を`名前に持つ~header$ ］は在る ］ ⇒ %応答 の`範囲が要請された~flag$rs ~SET ~ON ◎ If httpRequest’s header list contains `Range`, then set response’s range-requested flag.
9. ~IF［ %~CORS~flag ~EQ ε ］~AND［ `非同一-生成元~資源~施策~検査$( %要請, %応答 ) ~EQ `阻止ed^i ］ ⇒ ~RET `~network~error$ ◎ If the CORS flag is unset and the cross-origin resource policy check with request and response returns blocked, then return a network error.

10. ~IF［ %応答 の`~status$rs ~EQ `401$st 【Unauthorized】 ］~AND［ %資格証~flag ~EQ ~ON ］~AND［ %要請 の`~window$rqは`環境~設定群~obj$である ］： ◎ If response’s status is 401, CORS flag is unset, credentials flag is set, and request’s window is an environment settings object, then:

    1. 課題： `WWW-Authenticate$h ~header が複数個ある場合, 与えられていない場合, その構文解析, についてのテスト ◎ Needs testing: multiple `WWW-Authenticate` headers, missing, parsing issues.

    2. ~IF［ %要請 の`本体$rq ~NEQ ~NULL ］： ◎ If request’s body is non-null, then:

       1. ~IF［ %要請 の`本体$rqの`~source$bd ~EQ ~NULL ］ ⇒ ~RET `~network~error$ ◎ If request’s body’s source is null, then return a network error.
       2. %要請 の`本体$rq ~SET ［ `本体と内容~型を安全に抽出する$( %要請 の`本体$rqの`~source$bd ) ］の結果の`本体$ ◎ Set request’s body to the first return value of safely extracting request’s body’s source.

    3. ~IF［ %要請 の`資格証利用URL~flag$rq ~EQ ~OFF ］~OR［ %認証~fetch~flag ~NEQ ε ］： ◎ If request’s use-URL-credentials flag is unset or authentication-fetch flag is set, then:

       1. ~IF［ 進行中の~fetchは`終了され$た ］ ⇒ ~RET 終了-時の `中止~flag^i に応じて ⇒＃ ~ON ならば `中止~network~error$ ／ ~OFF ならば `~network~error$ ◎ If the ongoing fetch is terminated, then: • Let aborted be the termination’s aborted flag. • If aborted is set, then return an aborted network error. • Return a network error.
       2. ( %~username, %~password ) ~LET %要請 の`~window$rq において，末端利用者に ( ~username, ~password ) の~~入力を促して得られた結果 【~~入力が拒否された場合について言及されていない。`中止~network~error$を返す？】 ◎ Let username and password be the result of prompting the end user for a username and password, respectively, in request’s window.
       3. `~URLの~usernameを設定する$( %要請 の`現在の~URL$rq, %~username ) ◎ Set the username given request’s current URL and username.
       4. `~URLの~passwordを設定する$( %要請 の`現在の~URL$rq, %~password ) ◎ Set the password given request’s current URL and password.
    4. %応答 ~SET `~HTTP~network-or-cache~fetch$( %要請, `認証あり^i ) を遂行した結果 ◎ Set response to the result of performing an HTTP-network-or-cache fetch using request with authentication-fetch flag set.

11. ~IF［ %応答 の`~status$rs ~EQ `407$st 【Proxy Authentication Required】 ］： ◎ If response’s status is 407, then:

    1. ~IF［ %要請 の`~window$rq ~EQ `no-window^l ］ ⇒ ~RET `~network~error$ ◎ If request’s window is "no-window", then return a network error.
    2. 課題： `Proxy-Authenticate$h ~header が複数個ある場合, 与えられていない場合, その構文解析, についてのテスト ◎ Needs testing: multiple `Proxy-Authenticate` headers, missing, parsing issues.
    3. ~IF［ 進行中の~fetchは`終了され$た ］ ⇒ ~RET 終了-時の `中止~flag^i に応じて ⇒＃ ~ON ならば `中止~network~error$ ／ ~OFF ならば `~network~error$ ◎ If the ongoing fetch is terminated, then: • Let aborted be the termination’s aborted flag. • If aborted is set, then return an aborted network error. • Return a network error.

    4. %要請 の`~window$rqにおいて、末端利用者に対し 適切に 【認証に関する手続きを】 促し，その結果を`~proxy認証~entry$として保存する `HTTP-AUTH$r ◎ Prompt the end user as appropriate in request’s window and store the result as a proxy-authentication entry. [HTTP-AUTH]

       注記： ~proxy認証~周辺の詳細は~HTTPにて規定される。 ◎ Remaining details surrounding proxy authentication are defined by HTTP.

    5. %応答 ~SET `~HTTP~network-or-cache~fetch$( %要請, %~CORS~flag ) を遂行した結果 ◎ Set response to the result of performing an HTTP-network-or-cache fetch using request with CORS flag if set.
12. ~IF［ %認証~fetch~flag ~NEQ ε ］ ⇒ ［ %要請, および所与の~realm ］用の`認証~entry$を作成する ◎ If authentication-fetch flag is set, then create an authentication entry for request and the given realm.
13. ~RET %応答 注記： 手続きはここで終わるが、その後も概して， %応答 の`本体$rsの`~stream$bdには~enqueueされ続ける。 ◎ Return response. Typically response’s body’s stream is still being enqueued to after returning.

4.6. ~HTTP~network~fetch

`~HTTP~network~fetch@ を遂行するときは、所与の ( %要請, %資格証~flag（省略時は ~OFF ） ) に対し，次の手続きを走らす： ◎ To perform an HTTP-network fetch using request with an optional credentials flag, run these steps:

1. %資格証 ~LET ［ %資格証~flag ~EQ ~ON ならば ~T ／ ~ELSE_ ~F ］ ◎ Let credentials be true if credentials flag is set, and false otherwise.
2. %応答 ~LET ~NULL ◎ Let response be null.

3. %接続 ~LET %要請 の`~mode$rqに応じて，次を遂行した結果： ◎ Switch on request’s mode:

   • `websocket^l ⇒ `~WebSocket接続を得る$( %要請 の`現在の~URL$rq ) ◎ "websocket" • Let connection be the result of obtaining a WebSocket connection, given request’s current URL.
   • ~ELSE_ ⇒ `接続を得る$( %要請 の`現在の~URL$rqの`生成元$url, %資格証 ) ◎ Otherwise • Let connection be the result of obtaining a connection, given request’s current URL’s origin and credentials.

4. この段の中は、進行中の~fetchが`終了され$た`ときは中止する$： ◎ Run these steps, but abort when the ongoing fetch is terminated:

   1. ~IF［ %接続 ~EQ `失敗^i ］ ⇒ ~RET `~network~error$ ◎ If connection is failure, return a network error.
   2. ~IF［ %接続 は~HTTP2接続でない ］~AND［ %要請 の`本体$rq ~NEQ ~NULL ］~AND［ %要請 の`本体$rqの`~source$bd ~EQ ~NULL ］ ⇒ %要請 の`~header~list$rqに`~headerを付加する$( `Transfer-Encoding$h / `chunked^bl ) ◎ If connection is not an HTTP/2 connection, request’s body is non-null, and request’s body’s source is null, then append `Transfer-Encoding`/`chunked` to request’s header list.

   3. %応答 ~SET 次の各~条項に従う下で、 %要請 を用いて, %接続 越しに，~HTTP要請を発行した結果： ◎ Set response to the result of making an HTTP request over connection using request with the following caveats:

      • ~HTTPによる関連する要件に従うこと。 `HTTP$r `HTTP-SEMANTICS$r `HTTP-COND$r `HTTP-CACHING$r `HTTP-AUTH$r ◎ Follow the relevant requirements from HTTP. [HTTP] [HTTP-SEMANTICS] [HTTP-COND] [HTTP-CACHING] [HTTP-AUTH]
      • `~header$すべてが伝送されるまで待機すること。 ◎ Wait until all the headers are transmitted.

      • `応答$のうち，［ `~status$rs ~IN { `100^st, `102^st 〜 `199^st } ］なるものは無視すること。 ◎ Any responses whose status is in the range 100 to 199, inclusive, and is not 101, are to be ignored.

        注記： この種の`応答$ 【暫定的~応答】 には、最終的に， “最終” `応答$が後続する。 ◎ These kind of responses are eventually followed by a "final" response.

      注記： ~Fetchと~HTTPとの間の正確な重ね方は、依然として~~整理される必要がある。 したがって、ここでの %応答 は，`応答$と~HTTP応答の両者を表現する。 ◎ The exact layering between Fetch and HTTP still needs to be sorted through and therefore response represents both a response and an HTTP response here.

      %要請 の`~header~list$rqが ( `Transfer-Encoding$h / `chunked^bl ) を包含する場合は ⇒ ~IF［ %応答 は HTTP/1.0 以下の~versionを介して転送されている ］ ⇒ ~RET `~network~error$ ◎ If request’s header list contains `Transfer-Encoding`/`chunked` and response is transferred via HTTP/1.0 or older, then return a network error.

      ~HTTP要請による結果，~TLS~client証明書~dialogになるときは： ◎ If the HTTP request results in a TLS client certificate dialog, then:

      1. ~IF［ %要請 の`~window$rqは`環境~設定群~obj$である ］ ⇒ %要請 の`~window$rqにて~dialogを可用にする ◎ If request’s window is an environment settings object, make the dialog available in request’s window.
      2. ~ELSE ⇒ ~RET `~network~error$ ◎ Otherwise, return a network error.

      ~IF［ %応答 は~HTTPS越しに検索取得された ］ ⇒ その`~HTTPS状態$rs ~SET ［ `deprecated^l または `modern^l ］ `TLS$r ◎ If response was retrieved over HTTPS, set its HTTPS state to either "deprecated" or "modern". [TLS]

      注記： ここでの正確な決定は、現時点では~UAに委ねられる。 ~UAには、保安が強固な~TLS接続についてのみ成功し，他の場合は`~network~error$を返すことが、強く奨励される。 状態~値 `deprecated^l の利用は一時的とされるベキであり，最後の~~手段の類の~optionである。 ◎ The exact determination here is up to user agents for the time being. User agents are strongly encouraged to only succeed HTTPS connections with strong security properties and return network errors otherwise. Using the "deprecated" state value ought to be a temporary and last resort kind of option.

      `要請~用の本体を伝送する$( %要請 ) ◎ Transmit body for request.

5. 前~段が`中止されたときは$： ◎ If aborted, then: ◎ ↓• Let aborted be the termination’s aborted flag.

   1. ~IF［ %接続 は~HTTP2を利用している ］ ⇒ `RST_STREAM^c ~frameを伝送する ◎ If connection uses HTTP/2, then transmit an RST_STREAM frame.
   2. ~RET 終了-時の `中止~flag^i に応じて ⇒＃ ~ON ならば `中止~network~error$ ／ ~OFF ならば `~network~error$ ◎ If aborted is set, then return an aborted network error. ◎ Return a network error.
6. %highWaterMark ~LET ~UAが~~任意に選ぶ［ 有限かつ負でない~number, または `Infinity^jv ］ ◎ Let highWaterMark be a non-negative, non-NaN number, chosen by the user agent.
7. %sizeAlgorithm ~LET 次のような~algo ⇒ `~chunk$~objを受容し，~UAが~~任意に選ぶ［ 有限かつ負でない~number ］を返す ◎ Let sizeAlgorithm be an algorithm that accepts a chunk object and returns a non-negative, non-NaN, non-infinite number, chosen by the user agent.
8. %pull ~LET 進行中の~fetchが`休止-$しているならば，それを`再開-$する動作 ◎ Let pull be an action that resumes the ongoing fetch if it is suspended.
9. %cancel ~LET 次を走らす動作 ⇒ 進行中の~fetchを`終了させる$( `中止~flag^i ~SET ~ON ) ◎ Let cancel be an action that terminates the ongoing fetch with the aborted flag set.

10. %~stream ~LET `~ReadableStream~objを構築する$RS( %highWaterMark, %sizeAlgorithm, %pull, %cancel ) ◎ Let stream be the result of constructing a ReadableStream object with highWaterMark, sizeAlgorithm, pull, and cancel.

    注記： この構築~演算からは、例外は投出されない。 ◎ This construction operation will not throw an exception.

11. この段の中は、進行中の~fetchが`終了され$た`ときは中止する$： ◎ Run these steps, but abort when the ongoing fetch is terminated:

    1. %応答 の`本体$rs ~SET 次のようにされた新たな`本体$ ⇒ `~stream$bd ~SET %~stream ◎ Set response’s body to a new body whose stream is stream.

    2. ~IF［ %応答 には~payload本体~長さがある ］ ⇒ %応答 の`本体$rsの`総~byte数$bd ~SET その~payload本体~長さ ◎ If response has a payload body length, then set response’s body’s total bytes to that payload body length.

       【 この条件は、 ~message本体~長さを決定できる かどうか `RFC7230$r に対応すると見受けられる（接続が~closeされるまで判明しない場合もある）。 ~payload本体~長さ は、~message本体~長さと異なることもある（当の~messageに `Transfer-Encoding$h が在る場合、それによる転送-符号法を復号した結果の長さになる）。 】

    3. ~IF［ %応答 は`~network~error$でない ］~AND［ %要請 の`~cache~mode$rq ~NEQ `no-store^l ］ ⇒ ~HTTP~cache内の［ %要請 に対する %応答 ］を更新する ◎ If response is not a network error and request’s cache mode is not "no-store", update response in the HTTP cache for request.

    4. ~IF［ %資格証~flag ~EQ ~ON ］~AND［ ~UAは %要請 用の~cookieを阻止するように環境設定されていない（ `COOKIES$r の 7 節 を見よ） ］ ⇒ %応答 の`~header~list$rs内の ~EACH ( `Set-Cookie$h を`名前に持つ~header$ %~header ) に対し ⇒ ( %~header の`値$hd, %要請 の`現在の~URL$rq ) を与える下で， "set-cookie-string" 構文解析~algo（ `COOKIES$r の 5.2 節 を見よ）を走らす ◎ If credentials flag is set and the user agent is not configured to block cookies for request (see section 7 of [COOKIES]), then run the "set-cookie-string" parsing algorithm (see section 5.2 of [COOKIES]) on the value of each header whose name is a byte-case-insensitive match for `Set-Cookie` in response’s header list, if any, and request’s current URL.

       注記： これは、利用者の追跡に利用され得る機能性である。 ~FINGERPRINTING ◎ This is a fingerprinting vector.

12. 前~段が`中止されたときは$： ◎ If aborted, then:

    1. ~IF［ 終了-時の `中止~flag^i ~EQ ~ON ］ ⇒ %応答 の`中止~flag$rs ~SET ~ON ◎ Let aborted be the termination’s aborted flag. ◎ If aborted is set, then set response’s aborted flag.
    2. ~RET %応答 ◎ Return response.

13. この段の中は、`並列的$に走らす： ◎ Run these steps in parallel:

    1. この段の中は、進行中の~fetchが`終了され$た`ときは中止する$： ◎ Run these steps, but abort when the ongoing fetch is terminated:

       ~WHILE 無条件： ◎ While true:

       1. ~IF［ %応答 の~message本体に対し 1 個 以上の~byteが伝送された ］： ◎ If one or more bytes have been transmitted from response’s message body, then:

          1. %~byte列 ~LET 伝送された~byte列 ◎ Let bytes be the transmitted bytes.
          2. ［ %応答 の`本体$rsの`伝送-済み~byte数$bd ］ ~INCBY ［ %~byte列 の長さ ］ ◎ Increase response’s body’s transmitted bytes with bytes’ length.
          3. %符号法s ~LET `~header~listから値を抽出する$( %応答 の`~header~list$rs, `Content-Encoding$h ) ◎ Let codings be the result of extracting header list values given `Content-Encoding` and response’s header list.

          4. %~byte列 ~SET `内容~符号法sを取扱う$( %符号法s, %~byte列 ) ◎ Set bytes to the result of handling content codings given codings and bytes.

             注記： これは、依拠し得ていた `Content-Length^h `~header$を依拠できないものにする。 ◎ This makes the `Content-Length` header unreliable to the extent that it was reliable to begin with.

          5. ~IF［ %~byte列 ~EQ `失敗^i ］ ⇒ 進行中の~fetchを`終了させる$ ◎ If bytes is failure, then terminate the ongoing fetch.
          6. %~stream の中へ［［ %~byte列 を包含している `ArrayBuffer$I ］を包装している `Uint8Array$I ~obj ］を`~enqueue$RSする — 例外が投出されたときは ⇒＃ %~stream をその例外で`~errorにする$RS； 進行中の~fetchを`終了させる$() ◎ Enqueue a Uint8Array object wrapping an ArrayBuffer containing bytes to stream. If that threw an exception, terminate the ongoing fetch, and error stream with that exception.
          7. ~IF［ %~stream は`もっと~dataが必要$RSではない ］~AND［ %要請 の`同期~flag$rq ~EQ ~OFF ] ⇒ 進行中の~fetchを`休止-$するよう，~UAに請う ◎ If stream doesn’t need more data and request’s synchronous flag is unset, ask the user agent to suspend the ongoing fetch.
       2. ~ELIF［ %応答 の~message本体~用の~byte列の伝送は，正常に終えられた ］ ⇒ ~IF［ %~stream は`読取可$RSである ］ ⇒＃ %~stream を`~closeする$RS； ~BREAK ◎ Otherwise, if the bytes transmission for response’s message body is done normally and stream is readable, then close stream and abort these in-parallel steps.

    2. 前~段が`中止されたときは$： ◎ If aborted, then:

       1. ~IF［ 終了-時の `中止~flag^i ~EQ ~ON ］： ◎ Let aborted be the termination’s aborted flag. ◎ If aborted is set, then:

          1. %応答 の`中止~flag$rs ~SET ~ON ◎ Set response’s aborted flag.
          2. ~IF［ %~stream は`読取可$RSである ］ ⇒ %~stream を `AbortError$E 例外で`~errorにする$RS ◎ If stream is readable, error stream with an "AbortError" DOMException.
       2. ~ELIF［ %~stream は`読取可$RSである ］ ⇒ %~stream を `TypeError$E で`~errorにする$RS ◎ Otherwise, if stream is readable, error stream with a TypeError.
       3. ~IF［ %接続 は~HTTP2を利用している ］ ⇒ `RST_STREAM^c ~frameを伝送する ◎ If connection uses HTTP/2, then transmit an RST_STREAM frame.

       4. ~ELSE ⇒ ~UAは接続を~closeするベキである — そうすると処理能が悪化するときは除いて ◎ Otherwise, the user agent should close connection unless it would be bad for performance to do so.

          注記： 一例として，~UAは、再利用-可能な接続にて，伝送する~byte数が残りわずかしかないと知るならば、接続を~openしたまま保つこともできる。 この事例では、接続を~closeして 次の~fetch用に~handshake処理-をやり直すと，悪化することもあるので。 ◎ For instance, the user agent could keep the connection open if it knows there’s only a few bytes of transfer remaining on a reusable connection. In this case it could be worse to close the connection and go through the handshake process again for the next fetch.

       注記： この段を`並列的$に走らせているのは、この時点では， %応答 の`本体$rsが関連するのかどうか明瞭でないためである（ %応答 は~redirectかもしれない）。 ◎ These are run in parallel as at this point it is unclear whether response’s body is relevant (response might be a redirect).

14. ~RET %応答 注記： 手続きはここで終わるが、その後も概して， %応答 の`本体$rsの`~stream$bdには~enqueueされ続ける。 ◎ Return response. Typically response’s body’s stream is still being enqueued to after returning.

4.7. ~CORS予行~fetch

注記： これは、実質的には，`~CORS~protocol$が解されるかどうか見るための~UA実装であり、`~CORS予行~要請$と呼ばれている。 成功したときは、`~CORS予行~fetch$の回数を最小化するために，`~CORS予行~cache$を拡充する。 ◎ This is effectively the user agent implementation of the check to see if the CORS protocol is understood. The so-called CORS-preflight request. If successful it populates the CORS-preflight cache to minimize the number of these fetches.

`~CORS予行~fetch@ を遂行するときは、所与の ( %要請 ) に対し，次を走らす： ◎ To perform a CORS-preflight fetch using request, run these steps:

1. %予行 ~LET 次のように設定された，新たな`要請$ ⇒＃ `~method$rq ~SET `OPTIONS$hm, `~URL$rq ~SET %要請 の`現在の~URL$rq, `起動元$rq ~SET %要請 の`起動元$rq, `行先$rq ~SET %要請 の`行先$rq, `生成元$rq ~SET %要請 の`生成元$rq, `~referrer$rq ~SET %要請 の`~referrer$rq, `~referrer施策$rq ~SET %要請 の`~referrer施策$rq, `~tainted生成元~flag$rq ~SET %要請 の`~tainted生成元~flag$rq ◎ Let preflight be a new request whose method is `OPTIONS`, URL is request’s current URL, initiator is request’s initiator, destination is request’s destination, origin is request’s origin, referrer is request’s referrer, referrer policy is request’s referrer policy, and tainted origin flag is request’s tainted origin flag.

   注記： %予行 の`~sw~mode$rqは関わらない — この~algoは、`~HTTP~fetch$ではなく，`~HTTP~network-or-cache~fetch$を利用するので。 ◎ The service-workers mode of preflight does not matter as this algorithm uses HTTP-network-or-cache fetch rather than HTTP fetch.

2. %予行 の`~header~list$rqに`~headerを付加する$( `Access-Control-Request-Method$h / %要請 の`~method$rq ) ◎ Append `Access-Control-Request-Method` to request’s method in preflight’s header list.
3. %~header~list ~LET `~CORS非安全な要請~header名たち$( %要請 の`~header~list$rq ) ◎ Let headers be the CORS-unsafe request-header names with request’s header list.

4. ~IF［ %~header~list は`空$でない ］： ◎ If headers is not empty, then:

   1. %値 ~LET %~header~list 内の各~itemを順に， `,^bl で区切って連結した結果 ◎ Let value be the items in headers separated from each other by `,`.
   2. %予行 の`~header~list$rqに`~headerを付加する$( `Access-Control-Request-Headers$h / %値 ) ◎ Append `Access-Control-Request-Headers` to value in preflight’s header list.

   注記： ここで`~headerを結合する$を利用しないのは意図的である。 これは［ `2C^X `20^X ］並びによる仕方で実装されてはいないので — 功罪はあれど。 ◎ This intentionally does not use combine, as 0x20 following 0x2C is not the way this was implemented, for better or worse.

5. %応答 ~LET `~HTTP~network-or-cache~fetch$( %予行, `~CORSあり^i ) を遂行した結果 ◎ Let response be the result of performing an HTTP-network-or-cache fetch using preflight with the CORS flag set.

6. ~IF［ `~CORS検査$( %要請, %応答 ) ~EQ `成功^i ］~AND［ %応答 の`~status$rs は`~ok~status$である ］： ◎ If a CORS check for request and response returns success and response’s status is an ok status, then:

   注記： 正しい`資格証~mode$rqの利用を確保するため、 `~CORS検査$は， %予行 ではなく %要請 に対して行う。 ◎ The CORS check is done on request rather than preflight to ensure the correct credentials mode is used.

   1. %~methods ~LET `~header~listから値を抽出する$( %応答 の`~header~list$rs, `Access-Control-Allow-Methods$h ) ◎ Let methods be the result of extracting header list values given `Access-Control-Allow-Methods` and response’s header list.
   2. %~header名たち ~LET `~header~listから値を抽出する$( %応答 の`~header~list$rs, `Access-Control-Allow-Headers$h ) ◎ Let headerNames be the result of extracting header list values given `Access-Control-Allow-Headers` and response’s header list.
   3. ~IF［ %~methods ~EQ `失敗^i ］~OR［ %~header名たち ~EQ `失敗^i ］ ⇒ ~RET `~network~error$ ◎ If either methods or headerNames is failure, return a network error.

   4. ~IF［ %~methods ~EQ ~NULL ］~AND［ `~CORS予行~利用~flag$rq ~EQ ~ON ］ ⇒ %~methods ~SET %要請 の`~method$rqのみからなる新たな~list ◎ If methods is null and request’s use-CORS-preflight flag is set, then set methods to a new list containing request’s method.

      注記： これにより、単に［ %要請 の`~CORS予行~利用~flag$rq ~EQ ~ON ］であることに因り生じる`~CORS予行~fetch$も，~cacheされる。 ◎ This ensures that a CORS-preflight fetch that happened due to request’s use-CORS-preflight flag being set is cached.

   5. ~IF［ %要請 の`~method$rq ~NIN %~methods ］~AND［ %要請 の`~method$rqは`~CORS安全とされる~method$でない ］~AND［［ %要請 の`資格証~mode$rq ~EQ `include^l ］~OR［ `*^bl ~NIN %~methods ］］ ⇒ ~RET `~network~error$ ◎ If request’s method is not in methods, request’s method is not a CORS-safelisted method, and request’s credentials mode is "include" or methods does not contain `*`, then return a network error.

   6. %要請 の`~header~list$rq内の ~EACH( %~header ) に対し：

      1. ~IF［ %~header は %~header名たち 内のある名前を`名前に持つ~header$である ］ ⇒ ~CONTINUE
      2. ~IF［ %~header は`~CORS非~wildcard要請~header名$を`名前に持つ~header$である ］ ⇒ ~RET `~network~error$
      ◎ If one of request’s header list’s names is a CORS non-wildcard request-header name and is not a byte-case-insensitive match for an item in headerNames, then return a network error.
   7. ~IF［ %要請 の`資格証~mode$rq ~EQ `include^l ］~OR［ `*^bl ~NIN %~header名たち ］ ⇒ `~CORS非安全な要請~header名たち$( %要請 の`~header~list$rq ) 内の ~EACH( %非安全~header名 ) に対し ⇒ %~header名たち 内の ~EACH( %~header名 ) に対し ⇒ ~IF［ ( 非安全~header名, %~header ) は`~byte大小無視$で合致する ］ ⇒ ~RET `~network~error$ ◎ For each unsafeName in the CORS-unsafe request-header names with request’s header list, if unsafeName is not a byte-case-insensitive match for an item in headerNames and request’s credentials mode is "include" or headerNames does not contain `*`, return a network error.
   8. %寿命 ~LET `~header~listから値を抽出する$( %応答 の`~header~list$rs, `Access-Control-Max-Age$h ) ◎ Let max-age be the result of extracting header list values given `Access-Control-Max-Age` and response’s header list.
   9. ~IF［ %寿命 ~IN { `失敗^i, ~NULL } ］ ⇒ %寿命 ~SET 0 ◎ If max-age is failure or null, then set max-age to zero.
   10. ~IF［ %寿命 ~LT 環境により課される`寿命$ccの上限 ］ ⇒ %寿命 ~SET その上限 ◎ If max-age is greater than an imposed limit on max-age, then set max-age to the imposed limit.
   11. ~IF［ ~UAは`~CORS予行~cache$を供していない ］ ⇒ ~RET %応答 ◎ If the user agent does not provide for a cache, then return response.

   12. %~methods 内の ~EACH( %~method ) に対し：

       1. %~entryたち ~LET `~methodも合致している~cache~entry$( %要請, %~method )
       2. ~IF［ %~entryたち は空でない ］ ⇒ %~entryたち を成す各~entryに対し ⇒ その`寿命$cc ~SET %寿命
       3. ~ELSE ⇒ `新たな~cache~entryを作成する$( %要請, %寿命, %~method, ~NULL )
       ◎ For each method in methods for which there is a method cache entry match using request, set matching entry’s max-age to max-age. ◎ For each method in methods for which there is no method cache entry match using request, create a new cache entry with request, max-age, method, and null.

   13. %~header名たち 内の ~EACH( %~header名 ) に対し：

       1. %~entryたち ~LET `~header名も合致している~cache~entry$( %要請, %~header名 )
       2. ~IF［ %~entryたち ~NEQ ε ］ ⇒ %~entryたち を成す各~entryに対し ⇒ その`寿命$cc ~SET %寿命

       3. ~ELSE ⇒ `新たな~cache~entryを作成する$( %要請, %寿命, ~NULL, %~header名 )

       ◎ For each headerName in headerNames for which there is a header-name cache entry match using request, set matching entry’s max-age to max-age. ◎ For each headerName in headerNames for which there is no header-name cache entry match using request, create a new cache entry with request, max-age, null, and headerName.
   14. ~RET %応答 ◎ Return response.
7. ~ELSE ⇒ ~RET `~network~error$ ◎ Otherwise, return a network error.

4.8. ~CORS予行~cache

各~UAは、 `~CORS予行~cache@ を持つ — それは、 0 個以上の`~cache~entry$からなる`~list$である。 ◎ A user agent has an associated CORS-preflight cache. A CORS-preflight cache is a list of cache entries.

各 `~cache~entry@ は、次のものからなる： ◎ A cache entry consists of:

• `直列形の生成元@cc — `~byte列$ ◎ serialized origin (a byte sequence)
• `~URL@cc — `~URL$ ◎ URL (a URL)
• `寿命@cc — 秒数 ◎ max-age (a number of seconds)
• `資格証の有無@cc — 次のいずれか ⇒＃ `有り^i, `無し^i ◎ credentials (a boolean)
• `~method@cc — 次のいずれか ⇒＃ ~NULL, `*^bl, `~method$ ◎ method (null, `*`, or a method)
• `~header名@cc — 次のいずれか ⇒＃ ~NULL, `*^bl, `~header$の`名前$hd ◎ header name (null, `*`, or a header name)

【 `~method$ccと`~header名$ccは，両立しない~fieldであり、常に，一方は ~NULL, 他方は非 ~NULL になる。 】

`~cache~entry$は、格納されてから`寿命$ccに指定された秒数だけ過ぎた時点で，除去するモノトスル — その時点が来る前に除去してもヨイ。 ◎ Cache entries must be removed after the seconds specified in their max-age field have passed since storing the entry. Cache entries may be removed before that moment arrives.

`新たな~cache~entryを作成する@ ときは、所与の ( %要請, %寿命, %~method, %~header名 ) に対し ⇒ `~CORS予行~cache$に［ 次のように初期化された，新たな`~cache~entry$ ］を`付加する$ ⇒＃ `直列形の生成元$cc ~SET `要請の生成元を直列化する$( %要請 ), `~URL$cc ~SET %要請 の`現在の~URL$rq, `寿命$cc ~SET %寿命, `資格証の有無$cc ~SET ［%要請 の`資格証~mode$rq ~EQ `include^l ならば `有り^i ／ ~ELSE_ `無し^i ］, `~method$cc ~SET %~method, `~header名$cc ~SET %~header名 ◎ To create a new cache entry, given request, max-age, method, and headerName, run these steps: ◎ Let entry be a cache entry, initialized as follows: ◎ serialized origin • The result of serializing a request origin with request URL • request’s current URL max-age • max-age credentials • True if request’s credentials mode is "include", and false otherwise method • method header name • headerName ◎ Append entry to the user agent’s CORS-preflight cache.

`~cache~entryを消去する@ ときは、所与の ( %要請 ) に対し ⇒ ~UAの`~CORS予行~cache$から，次を満たす`~cache~entry$をすべて除去する ⇒ ［ `直列形の生成元$cc ~EQ `要請の生成元を直列化する$( %要請 ) ］~AND［ `~URL$cc ~EQ %要請 の`現在の~URL$rq ］ ◎ To clear cache entries, given a request, remove any cache entries in the user agent’s CORS-preflight cache whose serialized origin is the result of serializing a request origin with request and whose URL is request’s current URL.

次をすべて満たす`~cache~entry$は、 %要請 に `~cache合致する@ とされる： ◎ There is a cache entry match for a cache entry entry with request＼

• `直列形の生成元$cc ~EQ `要請の生成元を直列化する$( %要請 ) ◎ if entry’s serialized origin is the result of serializing a request origin with request,＼
• `~URL$cc ~EQ %要請 の`現在の~URL$rq ◎ entry’s URL is request’s current URL,＼
• ［ `資格証の有無$cc ~EQ `有り^i ］~OR［［ `資格証の有無$cc ~EQ `無し^i ］~AND［ %要請 の`資格証~mode$rq ~NEQ `include^l ］］ ◎ and one of • entry’s credentials is true • entry’s credentials is false and request’s credentials mode is not "include". is true.

`~methodも合致している~cache~entry@ は、所与の ( %要請, %~method ) に対し，~UAの`~CORS予行~cache$内にある，次を満たす`~cache~entry$たちからなる集合を返す ⇒ ［ %要請 に`~cache合致する$ ］~AND［ `~method$cc ~IN { %~method, `*^bl } ］ ◎ There is a method cache entry match for method using request when there is a cache entry in the user agent’s CORS-preflight cache for which there is a cache entry match with request and its method is method or `*`.

【† 原文からは、該当する~entryは高々 1 個のように解釈できそうだが，複数あり得るかもしれない — はっきりしないので、この用語を利用している箇所も含め，複数あり得るとみなして訳している。 次の用語も同様。 】

`~header名も合致している~cache~entry@ は、所与の ( %要請, %~header名 ) に対し，~UAの`~CORS予行~cache$内にある，次を満たす`~cache~entry$たちからなる集合を返す ⇒ ［ %要請 に`~cache合致する$ ］~AND［ ( ~entryの`~header名$cc %名前, %~header名 ) は次のいずれかを満たす ］： ◎ There is a header-name cache entry match for headerName using request when there is a cache entry in the user agent’s CORS-preflight cache for which there is a cache entry match with request and＼

4.9. ~CORS検査

`~CORS検査@ は、所与の ( %要請, %応答 ) に対し，次を走らす： ◎ To perform a CORS check for a request and response, run these steps:

1. %生成元 ~LET `~header~listから値を取得する$( %応答 の`~header~list$rs, `Access-Control-Allow-Origin$h ) ◎ Let origin be the result of getting `Access-Control-Allow-Origin` from response’s header list.

2. ~IF［ %生成元 ~EQ ~NULL ］ ⇒ ~RET `失敗^i ◎ If origin is null, then return failure.

   注記： ~NULL は `null^bl でないことに注意。 ◎ Null is not `null`.

3. ~IF［ %要請 の`資格証~mode$rq ~NEQ `include^l ］~AND［ %生成元 ~EQ `*^bl ］ ⇒ ~RET `成功^i ◎ If request’s credentials mode is not "include" and origin is `*`, then return success.
4. ~IF［ `要請の生成元を直列化する$( %要請 ) ~NEQ %生成元 ］ ⇒ ~RET `失敗^i ◎ If the result of serializing a request origin with request is not origin, then return failure.
5. ~IF［ %要請 の`資格証~mode$rq ~NEQ `include^l ］ ⇒ ~RET `成功^i ◎ If request’s credentials mode is not "include", then return success.
6. %資格証 ~LET `~header~listから値を取得する$( %応答 の`~header~list$rs, `Access-Control-Allow-Credentials$h ) ◎ Let credentials be the result of getting `Access-Control-Allow-Credentials` from response’s header list.
7. ~IF［ %資格証 ~EQ `true^bl ］ ⇒ ~RET `成功^i ◎ If credentials is `true`, then return success.
8. ~RET `失敗^i ◎ Return failure.

5.1. `Headers^I ~class

typedef (
   sequence<sequence<`ByteString$I>>
   or record<`ByteString$I, `ByteString$I>
) `HeadersInit@I;

[`Headers$mC(optional `HeadersInit$I %init),
 Exposed=(Window,Worker)]
interface `Headers@I {
  void `append$m(`ByteString$I %name, `ByteString$I %value);
  void `delete$m(`ByteString$I %name);
  `ByteString$I? `get$m(`ByteString$I %name);
  boolean `has$m(`ByteString$I %name);
  void `set$m(`ByteString$I %name, `ByteString$I %value);
  `iterable$m<`ByteString$I, `ByteString$I>;
};

注記： `~header~list$と違って， `Headres$I ~objは複数個の `Set-Cookie$h `~header$は表現できない。 `Set-Cookie^h ~headerは 他のすべての~headerと違って結合できないので，これは ある面で問題になり得るが、この~headerは ~client側~JSには公開されないので，これは受容-可能な妥協点と判断される。 実装は、`~header~list$用であっても — `Set-Cookie^h ~header用の~data構造も~supportする限り — より効率的な `Headres$I ~obj表現を選ぶこともできる。 ◎ Unlike a header list, a Headers object cannot represent more than one `Set-Cookie` header. In a way this is problematic as unlike all other headers `Set-Cookie` headers cannot be combined, but since `Set-Cookie` headers are not exposed to client-side JavaScript this is deemed an acceptable compromise. Implementations could chose the more efficient Headers object representation even for a header list, as long as they also support an associated data structure for `Set-Cookie` headers.

/* 
次の~codeは：
 */
var %meta = { "Content-Type": "text/xml", "Breaking-Bad": "<3" }
new Headers(%meta)

/* 
次と等価になる：
◎
The above is equivalent to
 */
var %meta = [
[ "Content-Type", "text/xml" ],
[ "Breaking-Bad", "<3" ]
]
new Headers(%meta)

`Headers$I ~objには，次のものが結付けられる： ◎ ↓

`~header~list@Hl（初期~時は空）

`~header~list$。 ◎ A Headers object has an associated header list (a header list), which is initially empty. This can be a pointer to the header list of something else, e.g., of a request as demonstrated by Request objects.

注記： これは、何か他の~objの`~header~list$を指すこともある。 例えば `Request$I ~objの`要請$のそれを指すなど。 ◎ ↑

`~guard@Hl（初期~時は `none^l ）

次のいずれか ⇒＃ `immutable^l, `request^l, `request-no-cors^l, `response^l, `none^l ◎ A Headers object also has an associated guard, which is "immutable", "request", "request-no-cors", "response" or "none".

`新たな~Headers@( %~guard, %~list ) という表記は、次のようにされた，新たな `Headers$I ~objを表すとする：

1. `~guard$Hl ~SET %~guard
2. %~list が省略されていない場合は、前項に加えて ⇒ `~header~list$Hl ~SET %~list

【 この表記は、簡潔に述べるために，この訳に導入したものである。 】

`~guardで検査する@ ときは、所与の ( %name, %value, `~guard$Hl %~guard ) に対し，次を走らす：

【 この~algoは、共通の記述を集約するため，この訳に導入したものである。 】

1. ~IF［ %name は`名前$hdでない ］~OR［ %value は`値$hdでない ］ ⇒ ~THROW `TypeError$E

2. %~guard に応じて：

   • `immutable^l ⇒ ~THROW `TypeError$E
   • `request^l ⇒ ~IF［ %name は`禁止~header名$である ］ ⇒ ~RET `不合格^i
   • `response^l ⇒ ~IF［ %name は`禁止~応答~header名$である ］ ⇒ ~RET `不合格^i
   • `request-no-cors^l ⇒ ~RET `場合によっては合格^i
3. ~RET `合格^i

`Headers$I ~obj %headers に ( `名前$hd %name / `値$hd %value ) の組を `付加する@Hl ときは、次を走らす： ◎ To append a name/value name/value pair to a Headers object (headers), run these steps:

1. %value ~SET `値を正規化する$( %value ) ◎ Normalize value.

2. `~guardで検査する$( %name, %value, %headers の`~guard$Hl ) の結果に応じて：

   • `不合格^i ⇒ ~RET

   • `場合によっては合格^i：

     1. %一時的な値 ~LET `~header~listから値を取得する$( %headers の`~header~list$Hl, %name )
     2. ~IF［ %一時的な値 ~EQ ~NULL ］ ⇒ %一時的な値 ~SET %value
     3. ~ELSE ⇒ %一時的な値 に次を順に付加する ⇒＃ `2C^X, `20^X, %value
     4. ~IF［ ( %name / %一時的~値 ) は`~CORSなしで安全とされる要請~header$でない ］ ⇒ ~RET
   ◎ If name is not a name or value is not a value, then throw a TypeError. ◎ If headers’s guard is "immutable", then throw a TypeError. ◎ Otherwise, if headers’s guard is "request" and name is a forbidden header name, return. ◎ Otherwise, if headers’s guard is "request-no-cors": • Let temporaryValue be the result of getting name from headers’s header list. • If temporaryValue is null, then set temporaryValue to value. • Otherwise, set temporaryValue to temporaryValue, followed by 0x2C 0x20, followed by value. • If name/temporaryValue is not a no-CORS-safelisted request-header, then return. ◎ Otherwise, if headers’s guard is "response" and name is a forbidden response-header name, return.
3. %headers の`~header~list$Hlに`~headerを付加する$( %name / %value ) ◎ Append name/value to headers’s header list.
4. ~IF［ %headers の`~guard$Hl ~EQ `request-no-cors^l ］ ⇒ %headers から`特権的~CORSなし要請~headerを除去する$ ◎ If headers’s guard is "request-no-cors", then remove privileged no-CORS request headers from headers.

`Headers$I ~obj %headers を，所与の~obj %~obj で `埋める@Hl ときは、次を走らす： ◎ To fill a Headers object (headers) with a given object (object), run these steps:

1. ~IF［ %~obj は~IDL`連列~型$idlである ］： ◎ ↓

   1. %~obj 内の ~EACH( %~header ) に対し： ◎ If object is a sequence, then for each header in object:

      1. ~IF［ %~header 内の~item数 ~NEQ 2 ］ ⇒ ~THROW `TypeError$E ◎ If header does not contain exactly two items, then throw a TypeError.
      2. %headers に ( %~header の 1 個目の~item / %~header の 2 個目の~item ) を`付加する$Hl ◎ Append header’s first item/header’s second item to headers.
2. ~ELSE（ %~obj は~IDL`~record型$idlである ） ⇒ %~obj 内の ~EACH( %~key → %値 ) に対し ⇒ %headers に ( %~key / %値 ) を`付加する$Hl ◎ Otherwise, object is a record, then for each key → value in object, append key/value to headers.

`Headres$I ~obj %headers から `特権的~CORSなし要請~headerを除去する@ ときは、次を走らす： ◎ To remove privileged no-CORS request headers from a Headers object (headers), run these steps:

1. `特権的~CORSなし要請~header名$を成す ~EACH( %~header名 ) に対し ⇒ %headers の`~header~list$Hlから`~headerを削除する$( %~header名 ) ◎ For each headerName of privileged no-CORS request-header names: • Delete headerName from headers’s header list.

注記： これは、 %headers が特権的でない~codeにより改変されたときに~callされる。 ◎ This is called when headers are modified by unprivileged code.

`Headers(init)@m

この構築子の被呼出時には、次を走らすモノトスル： ◎ The Headers(init) constructor, when invoked, must run these steps:

1. %headers ~LET `新たな~Headers$( `none^l ) ◎ Let headers be a new Headers object whose guard is "none".
2. ~IF［ %init は与えられている ］ ⇒ %headers を %init で`埋める$Hl ◎ If init is given, then fill headers with init.
3. ~RET %headers ◎ Return headers.

`append(name, value)@m

被呼出時には、次を走らすモノトスル ⇒ 此れに ( %name / %value ) を`付加する$Hl ◎ The append(name, value) method, when invoked, must append name/value to the context object.

`delete(name)@m

被呼出時には、次を走らすモノトスル： ◎ The delete(name) method, when invoked, must run these steps:

1. `~guardで検査する$( %name, `valid-value^bl, 此れの`~guard$Hl ) の結果に応じて：

   • `不合格^i ⇒ ~RET
   • `場合によっては合格^i ⇒ ~IF［ %name は`~CORSなしで安全とされる要請~header名$でない ］~AND［ %name は`特権的~CORSなし要請~header名$でない ］ ⇒ ~RET
   ◎ If name is not a name, then throw a TypeError. ◎ If the context object’s guard is "immutable", then throw a TypeError. ◎ Otherwise, if the context object’s guard is "request" and name is a forbidden header name, return. ◎ Otherwise, if the context object’s guard is "request-no-cors", name is not a no-CORS-safelisted request-header name, and name is not a privileged no-CORS request-header name, return. ◎ Otherwise, if the context object’s guard is "response" and name is a forbidden response-header name, return.
2. ~IF［ 此れの`~header~list$Hl内に［ %name を`名前に持つ~header$ ］は無い ］ ⇒ ~RET ◎ If the context object’s header list does not contain name, then return.
3. 此れの`~header~list$Hlから`~headerを削除する$( %name ) ◎ Delete name from the context object’s header list.
4. ~IF［ 此れの`~guard$Hl ~EQ `request-no-cors^l ］ ⇒ 此れから`特権的~CORSなし要請~headerを除去する$ ◎ If the context object’s guard is "request-no-cors", then remove privileged no-CORS request headers from the context object.

`get(name)@m

被呼出時には、次を走らすモノトスル： ◎ The get(name) method, when invoked, must run these steps:

1. ~IF［ %name は`名前$hdでない ］ ⇒ ~THROW `TypeError$E ◎ If name is not a name, then throw a TypeError.
2. ~RET `~header~listから値を取得する$( 此れの`~header~list$Hl, %name ) ◎ Return the result of getting name from the context object’s header list.

`has(name)@m

被呼出時には、次を走らすモノトスル： ◎ The has(name) method, when invoked, must run these steps:

1. ~IF［ %name は`名前$hdでない ］ ⇒ ~THROW `TypeError$E ◎ If name is not a name, then throw a TypeError.
2. ~RET 此れの`~header~list$Hl内に［ %name を`名前に持つ~header$ ］は［ 在るならば ~T ／ 無いならば ~F ］ ◎ Return true if the context object’s header list contains name, and false otherwise.

`set(name, value)@m

被呼出時には、次を走らすモノトスル： ◎ The set(name, value) method, when invoked, must run these steps:

1. %value ~SET `値を正規化する$( %value ) ◎ Normalize value.

2. `~guardで検査する$( %name, %value, 此れの`~guard$Hl ) の結果に応じて：

   • `不合格^i ⇒ ~RET
   • `場合によっては合格^i ⇒ ~IF［ ( %name / %value ) は`~CORSなしで安全とされる要請~header$でない ］ ⇒ ~RET
   ◎ If name is not a name or value is not a value, then throw a TypeError. ◎ If the context object’s guard is "immutable", then throw a TypeError. ◎ Otherwise, if the context object’s guard is "request" and name is a forbidden header name, return. ◎ Otherwise, if the context object’s guard is "request-no-cors" and name/value is not a no-CORS-safelisted request-header, return. ◎ Otherwise, if the context object’s guard is "response" and name is a forbidden response-header name, return.
3. 此れの`~header~list$Hl内で`~headerを設定する$( %name / %value ) ◎ Set name/value in the context object’s header list.
4. ~IF［ `~guard$Hl ~EQ `request-no-cors^l ］ ⇒ 此れから`特権的~CORSなし要請~headerを除去する$ ◎ If the context object’s guard is "request-no-cors", then remove privileged no-CORS request headers from the context object.

`iterable@m

`反復される値~pair$idlは、次の結果で与えられる ⇒ 此れの`~header~list$Hlを`~sortして結合する$ ◎ The value pairs to iterate over are the return value of running sort and combine with the context object’s header list.

5.2. `Body^I ~mixin

typedef (
  `Blob$I or
  `BufferSource$I or
  `FormData$I or
  `URLSearchParams$I or
  `ReadableStream$I or
  `USVString$I
) `BodyInit@I;

`本体と内容~型を安全に抽出する@ ときは、所与の ( %~obj ) に対し，次を走らす — この手続きは ( `本体$, `Content-Type$h `値$hd ) の組を返す： ◎ To safely extract a body and a `Content-Type` value from object, run these steps:

1. ~IF［ %~obj は`~ReadableStream$~objである ］ ⇒ ~Assert： %~obj は次を満たしていない ⇒ ［ `妨げられている$RS ］~OR［ `~lockされている$RS ］ ◎ If object is a ReadableStream object, then: • Assert: object is neither disturbed nor locked.
2. ~RET `本体と内容~型を抽出する$( %~obj ) ◎ Return the results of extracting object.

注記： `本体と内容~型を安全に抽出する$演算は、例外を投出しないことが保証される，`本体と内容~型を抽出する$演算である。 ◎ The safely extract operation is a subset of the extract operation that is guaranteed to not throw an exception.

`本体と内容~型を抽出する@ ときは、所与の ( %~obj, %~keepalive~flag （省略時は ~OFF ）) に対し，次を走らす — この手続きは ( `本体$, `Content-Type$h `値$hd ) の組を返す： ◎ To extract a body and a `Content-Type` value from object, with an optional keepalive flag, run these steps:

1. %~stream ~LET `~ReadableStream~objを構築する$RS() ◎ Let stream be the result of constructing a ReadableStream object.
2. %内容~型 ~LET ~NULL ◎ Let Content-Type be null.
3. %動作 ~LET ~NULL ◎ Let action be null.
4. %~source ~LET ~NULL ◎ Let source be null.

5. %~obj の型に応じて： ◎ Switch on object’s type:

   `Blob$I

   1. %動作 ~SET %~obj を読取る動作 ◎ Set action to an action that reads object.
   2. ~IF［ %~obj の `type$mF 属性 ~NEQ 空~byte列 ］ ⇒ %内容~型 ~SET その属性~値 ◎ If object’s type attribute is not the empty byte sequence, set Content-Type to its value.
   3. %~source ~SET %~obj ◎ Set source to object.

   `BufferSource$I

   1. %~stream の中へ［［［ %~obj に保持されている~byte列の複製 ］を包含している `ArrayBuffer$I ］を包装している `Uint8Array$I ~obj ］を`~enqueue$RSする
   2. %~stream を`~closeする$RS
   3. %~source ~SET %~obj

   例外が投出されたときは ⇒ %~stream をその例外で`~errorにする$RS

   ◎ Enqueue a Uint8Array object wrapping an ArrayBuffer containing a copy of the bytes held by object to stream and close stream. If that threw an exception, error stream with that exception. ◎ Set source to object.

   `FormData$I

   1. %動作 ~SET 次を走らす動作 ⇒ `~mp_form_dataとして符号化する$( %~obj, `~UTF-8$enc ) ◎ Set action to an action that runs the multipart/form-data encoding algorithm, with object as form data set and with UTF-8 as the explicit character encoding.

   2. %内容~型 ~SET 次の連結

      1. `multipart/form-data; boundary=^bl
      2. %動作 により生成されることになる `~mp_form_data境界~文字列$
      ◎ Set Content-Type to `multipart/form-data; boundary=`, followed by the multipart/form-data boundary string generated by the multipart/form-data encoding algorithm.
   3. %~source ~SET %~obj ◎ Set source to object.

   `URLSearchParams$I

   1. %動作 ~SET 次を走らす動作 ⇒ `~form_urlencoded直列化器$( %~obj の`名値~組~list$url ) ◎ Set action to an action that runs the application/x-www-form-urlencoded serializer with object’s list.
   2. %内容~型 ~SET `application/x-www-form-urlencoded;charset=UTF-8^bl ◎ Set Content-Type to `application/x-www-form-urlencoded;charset=UTF-8`.
   3. %~source ~SET %~obj ◎ Set source to object.

   `USVString$I

   1. %動作 ~SET 次を走らす動作 ⇒ `~UTF-8符号化する$( %~obj ) ◎ Set action to an action that runs UTF-8 encode on object.
   2. %内容~型 ~SET `text/plain;charset=UTF-8^bl ◎ Set Content-Type to `text/plain;charset=UTF-8`.
   3. %~source ~SET %~obj ◎ Set source to object.

   `ReadableStream$I

   1. ~IF［ %~keepalive~flag ~EQ ~ON ］~OR［ %~obj は`妨げられている$Bd ］~OR［ %~obj は`~lockされている$Bd ］ ⇒ ~THROW `TypeError$E ◎ If the keepalive flag is set, then throw a TypeError. ◎ If object is disturbed or locked, then throw a TypeError.
   2. %~stream ~SET %~obj ◎ Set stream to object.

6. ~IF［ %動作 ~NEQ ~NULL ］ ⇒ %動作 を`並列的$に走らす： ◎ If action is non-null, run action in parallel:

   • 1 個以上の~byte %~byte列 が可用になる度に ⇒ %~stream の中へ［［ %~byte列 を包含している `ArrayBuffer$I ］を包装している `Uint8Array$I ~obj ］を`~enqueue$RSする ⇒ `ArrayBuffer$I の作成-時に例外が投出されたときは ⇒＃ %~stream をその例外で`~errorにする$RS； 走っている %動作 を取消す ◎ Whenever one or more bytes are available, let bytes be the bytes and enqueue a Uint8Array object wrapping an ArrayBuffer containing bytes to stream. If creating the ArrayBuffer threw an exception, error stream with that exception and cancel running action.
   • %動作 を走らせ終えたときは ⇒ %~stream を`~closeする$RS ◎ When running action is done, close stream.
7. %本体 ~LET 次のようにされた新たな`本体$ ⇒＃ `~stream$bd ~SET %~stream； `~source$bd ~SET %~source ◎ Let body be a body whose stream is stream and whose source is source.
8. ~RET ( %本体, %内容~型 ) ◎ Return body and Content-Type.

interface mixin `Body@I {
  readonly attribute `ReadableStream$I? `body$m;
  readonly attribute boolean `bodyUsed$m;
  [NewObject] Promise<`ArrayBuffer$I> `arrayBuffer$m();
  [NewObject] Promise<`Blob$I> `blob$m();
  [NewObject] Promise<`FormData$I> `formData$m();
  [NewObject] Promise<any> `json$m();
  [NewObject] Promise<`USVString$I> `text$m();
};

注記： ~HTMLなど，~network層に依存させたくない内容形式が、ここで公開されることにはならないであろう。 むしろ、~HTML構文解析器~APIが，~streamを受容するようになるであろう。 【参考】 ◎ Formats you would not want a network layer to be dependent upon, such as HTML, will likely not be exposed here. Rather, an HTML parser API might accept a stream in due course.

`Body$I ~mixinを実装している~objは、その`本体$Bd %本体 が： ◎ ↓

• ［ %本体 ~NEQ ~NULL ］~AND［ %本体 の`~stream$bdは`妨げられている$RS ］とき， `妨げられている@Bd という。 ◎ An object implementing the Body mixin is said to be disturbed if body is non-null and its stream is disturbed.
• ［ %本体 ~NEQ ~NULL ］~AND［ %本体 の`~stream$bdは`~lockされている$Bd ］とき， `~lockされている@Bd という。 ◎ An object implementing the Body mixin is said to be locked if body is non-null and its stream is locked.

`body@m

取得子は、次を返すモノトスル ⇒ 此れの`本体$Bd ~NEQ ~NULL ならば その`~stream$bd ／ ~ELSE_ ~NULL ◎ The body attribute’s getter must return null if body is null and body’s stream otherwise.

`bodyUsed@m

取得子は、次を返すモノトスル ⇒ 此れは`妨げられている$Bdならば ~T ／ ~ELSE_ ~F ◎ The bodyUsed attribute’s getter must return true if disturbed, and false otherwise.

`Body$I ~mixinを実装している各~objには、 `~dataを梱包する@Bd ~algoも結付けられる。 それは、所与の ( %~byte列, %型, %~MIME型 ) に対し， %型 に応じて次を走らす： ◎ Objects implementing the Body mixin also have an associated package data algorithm, given bytes, a type and a mimeType, switches on type, and runs the associated steps:

`ArrayBuffer^i

~RET %~byte列 を内容とする新たな `ArrayBuffer$I ◎ Return a new ArrayBuffer whose contents are bytes.

注記： `ArrayBuffer^I を割振るときには、 `RangeError$E が投出され得る。 ◎ Allocating an ArrayBuffer can throw a RangeError.

`Blob^i

~RET 次のようにされた `Blob$I ⇒＃ %~byte列 を内容とする, `type$mF 属性 ~SET %~MIME型 ◎ Return a Blob whose contents are bytes and type attribute is mimeType.

`FormData^i

%~MIME型 の`~essence$に応じて： ◎ ↓

`multipart/form-data^l ◎ If mimeType’s essence is "multipart/form-data", then:

1. `Returning Values from Forms: multipart/form-data^cite `RFC7578$r に則って、 ( %~MIME型 の `boundary^bl ~parameterの値 ) を与える下で， %~byte列 を構文解析する — それにより得られた各 部位 %部位 に対しては、［ %部位 の中の `Content-Disposition^h ~headerが `filename^bl ~parameterを包含するかどうかに応じて，次で与えられる値 ］を値とする`~entry$xhrに構文解析するモノトスル： ◎ Parse bytes, using the value of the `boundary` parameter from mimeType, per the rules set forth in Returning Values from Forms: multipart/form-data. [RFC7578]

   包含する場合

   次のようにされた `File$I ~obj：

   • その内容 ~SET %部位 の内容
   • `name$mF 属性の値 ~SET `filename^bl ~parameterの値
   • `type$mF 属性の値 ~SET %部位 内に `Content-Type$h ~headerが［ あれば その~header値 ／ なければ `text/plain^bl （ `RFC7578$r 4.4 節に定義される既定） ］

   ◎ Each part whose `Content-Disposition` header contains a `filename` parameter must be parsed into an entry whose value is a File object whose contents are the contents of the part. The name attribute of the File object must have the value of the `filename` parameter of the part. The type attribute of the File object must have the value of the `Content-Type` header of the part if the part has such header, and `text/plain` (the default defined by [RFC7578] section 4.4) otherwise.

   包含しない場合

   `~UTF-8復号する$( %部位 の内容 ) の結果 ◎ Each part whose `Content-Disposition` header does not contain a `filename` parameter must be parsed into an entry whose value is the UTF-8 decoded content of the part.＼

   注記： これは、［ `Content-Type$h ~header ／ `charset^bl ~parameter ］の有無やその値に関わらず行われる。 ◎ This is done regardless of the presence or the value of a `Content-Type` header and regardless of the presence or the value of a `charset` parameter.

   注記： ［ `Content-Disposition^h ~headerが `name^bl ~parameterを包含していて, その値は `_charset_^bl である ］ような部位も、他の部位と同様に構文解析される。 それは符号化法を変更することはない。 ◎ A part whose `Content-Disposition` header contains a `name` parameter whose value is `_charset_` is parsed like any other part. It does not change the encoding.

2. ~IF［ 何らかの事由で，前~段が失敗した ］ ⇒ ~THROW `TypeError$E ◎ If that fails for some reason, then throw a TypeError.
3. ~RET ［ `~entry$xhrの~list ~SET 構文解析した結果の`~entry$xhrたち ］にされた，新たな `FormData$I ~obj ◎ Return a new FormData object, appending each entry, resulting from the parsing operation, to entries.

課題： 上述は、 `multipart/form-data^bl に必要なものを大まかに~~述べたものである。 構文解析の より詳細な仕様が書かれることになる。 協力を歓迎する。 ◎ The above is a rough approximation of what is needed for `multipart/form-data`, a more detailed parsing specification is to be written. Volunteers welcome.

`application/x-www-form-urlencoded^l ◎ Otherwise, if mimeType’s essence is "application/x-www-form-urlencoded", then:

1. %~entryたち ~LET `~form_urlencoded構文解析器$( %~byte列 ) ◎ Let entries be the result of parsing bytes.
2. ~IF［ %~entryたち ~EQ `失敗^i ］ ⇒ ~THROW `TypeError$E ◎ If entries is failure, then throw a TypeError.
3. ~ELSE ⇒ ~RET 次のようにされた，新たな `FormData$I ~obj ⇒ `~entry$xhrの~list ~SET %~entryたち ◎ Return a new FormData object whose entries are entries.

その他

~THROW `TypeError$E ◎ Otherwise, throw a TypeError.

`JSON^i

~RET `~byte列を~JSONとして構文解析する$( %~byte列 ) ◎ Return the result of running parse JSON from bytes on bytes.

`text^i

~RET `~UTF-8復号する$( %~byte列 ) ◎ Return the result of running UTF-8 decode on bytes.

`Body$I ~mixinを実装している各~obj %O には、 `本体を消費する@Bd ~algoも結付けられる — それは、所与の ( %型 ) に対し，次を走らす： ◎ Objects implementing the Body mixin also have an associated consume body algorithm, given a type, runs these steps:

1. ~IF［ %O は`妨げられている$Bd ］~OR［ %O は`~lockされている$Bd ］ ⇒ ~RET `TypeError$E で`却下される新たな~promise$ ◎ If this object is disturbed or locked, return a new promise rejected with a TypeError.
2. %~stream ~LET ［ %O の`本体$Bd ~NEQ ~NULL ならば その`~stream$bd ／ ~ELSE_ `空の~ReadableStream~obj$ ］ ◎ Let stream be body’s stream if body is non-null, or an empty ReadableStream object otherwise.
3. %読取器 ~LET `読取器を取得する$RS( %~stream ) ⇒ 例外が投出されたときは ⇒ ~RET その例外で`却下される新たな~promise$ ◎ Let reader be the result of getting a reader from stream. If that threw an exception, return a new promise rejected with that exception.
4. %~promise ~LET %~stream から %読取器 で`すべての~byte列を読取った$RS結果 ◎ Let promise be the result of reading all bytes from stream with reader.

5. ~RET ［ 次を走らす充足~handler ］で %~promise を`変形-$した結果：

   1. ~RET `~dataを梱包する$Bd( ~handlerの最初の引数, %型, %O の`~MIME型$Bd )
   ◎ Return the result of transforming promise by a fulfillment handler that returns the result of the package data algorithm with its first argument, type and this object’s MIME type.

`arrayBuffer()@m

被呼出時には、次の結果を返すモノトスル ⇒ `本体を消費する$Bd( `ArrayBuffer^i ) ◎ The arrayBuffer() method, when invoked, must return the result of running consume body with ArrayBuffer.

`blob()@m

被呼出時には、次の結果を返すモノトスル ⇒ `本体を消費する$Bd( `Blob^i ) ◎ The blob() method, when invoked, must return the result of running consume body with Blob.

`formData()@m

被呼出時には、次の結果を返すモノトスル ⇒ `本体を消費する$Bd( `FormData^i ) ◎ The formData() method, when invoked, must return the result of running consume body with FormData.

`json()@m

被呼出時には、次の結果を返すモノトスル ⇒ `本体を消費する$Bd( `JSON^i ) ◎ The json() method, when invoked, must return the result of running consume body with JSON.

`text()@m

被呼出時には、次の結果を返すモノトスル ⇒ `本体を消費する$Bd( `text^i ) ◎ The text() method, when invoked, must return the result of running consume body with text.

5.3. `Request^I ~class

typedef (`Request$I or `USVString$I) `RequestInfo@I;

[`Request$mC(
    `RequestInfo$I %input,
    optional `RequestInit$I %init
), Exposed=(Window,Worker)]
interface `Request@I {
  readonly attribute `ByteString$I `method$m;
  readonly attribute `USVString$I `url$m;
  [SameObject] readonly attribute `Headers$I `headers$m;

  readonly attribute `RequestDestination$I `destination$m;
  readonly attribute `USVString$I `referrer$m;
  readonly attribute `ReferrerPolicy$I `referrerPolicy$m;
  readonly attribute `RequestMode$I `mode$m;
  readonly attribute `RequestCredentials$I `credentials$m;
  readonly attribute `RequestCache$I `cache$m;
  readonly attribute `RequestRedirect$I `redirect$m;
  readonly attribute `DOMString$I `integrity$m;
  readonly attribute boolean `keepalive$m;
  readonly attribute boolean `isReloadNavigation$m;
  readonly attribute boolean `isHistoryNavigation$m;
  readonly attribute `AbortSignal$I `signal$m;

  [NewObject] `Request$I `clone$m();
};
`Request$I includes `Body$I;

dictionary `RequestInit@I {
  `ByteString$I `method@RqI;
  `HeadersInit$I `headers@RqI;
  `BodyInit$I? `body@RqI;
  `USVString$I `referrer@RqI;
  `ReferrerPolicy$I `referrerPolicy@RqI;
  `RequestMode$I `mode@RqI;
  `RequestCredentials$I `credentials@RqI;
  `RequestCache$I `cache@RqI;
  `RequestRedirect$I `redirect@RqI;
  `DOMString$I `integrity@RqI;
  boolean `keepalive@RqI;
  `AbortSignal$I? `signal@RqI;
  any `window@RqI; // 設定できるのは ~NULL に限られる。
 };

enum `RequestDestination@I {
  "", "audio", "audioworklet", "document", "embed", "font", "image", "manifest", "object", "paintworklet", "report", "script", "sharedworker", "style",  "track", "video", "worker", "xslt" };
};
enum `RequestMode@I {
  "navigate", "same-origin", "no-cors", "cors"
};
enum `RequestCredentials@I {
  "omit", "same-origin", "include"
};
enum `RequestCache@I {
  "default", "no-store", "reload", "no-cache", "force-cache", "only-if-cached"
};
enum `RequestRedirect@I {
  "follow", "error", "manual"
};

注記： `serviceworker^l が `RequestDestination$I から省略されているのは、~JSからは観測し得ないためである。 それでも，実装は、`行先$rqとして それを~supportする必要がある。 `websocket^l が `RequestMode$I から省略されているのは、~JSからは観測し得ないためである。 ◎ "serviceworker" is omitted from RequestDestination as it cannot be observed from JavaScript. Implementations will still need to support it as a destination. "websocket" is omitted from RequestMode as it cannot be used nor observed from JavaScript.

`Request$I ~objには、次のものが結付けられる： ◎ ↓

`要請@Rq

`要請$。 ◎ A Request object has an associated request (a request).

`~Headers@Rq

~NULL または `Headers$I ~obj — 初期~時は ~NULL 。 ◎ A Request object also has an associated headers (null or a Headers object), initially null.

`通達@Rq

`AbortSignal$I ~obj — 初期~時は 新たな `AbortSignal$I ~obj。 ◎ A Request object has an associated signal (an AbortSignal object), initially a new AbortSignal object.

`Request$I ~objの`本体$Bdは、その`要請$Rqの`本体$rqである。 ◎ A Request object’s body is its request’s body.

%request = new `Request$m(%input [, %init ])

新たな `Request$I ~obj %request を返す — その `url$m ~propは、 %input に応じて［ 文字列ならば %input ／ `Request$I ~objであるならば %input の `url$m ］にされる。 ◎ Returns a new request whose url property is input if input is a string, and input’s url if input is a Request object.

%init 引数は、~objであり，次に挙げる~propを設定できる： ◎ The init argument is an object whose properties can be set as follows:

`method$RqI

%request の `method$m を設定する文字列。 ◎ A string to set request’s method.

`headers$RqI

%request の `headers$m を次のいずれかに設定する ⇒＃ `Headres$I ~obj, ~obj~literal【~JS Object 値】, それぞれが 2 個の~itemからなる配列たちが成す配列 ◎ A Headers object, an object literal, or an array of two-item arrays to set request’s headers.

`body$RqI

%request の`本体$rqを設定する［ `BodyInit$I ~obj, または ~NULL ］。 ◎ A BodyInit object or null to set request’s body.

`referrer$RqI

%request の`~referrer$rqを設定する文字列 — 次のいずれか ⇒＃ 同一-生成元~URL, `about:client^l, 空~文字列 ◎ A string whose value is a same-origin URL, "about:client", or the empty string, to set request’s referrer.

`referrerPolicy$RqI

%request の `referrerPolicy$m を設定する`~referrer施策$。 ◎ A referrer policy to set request’s referrerPolicy.

`mode$RqI

%request の `mode$m を設定する文字列 — 要請は次のいずれになるかを指示する ⇒ ~CORSを利用する, 同一-生成元~URLに制約される ◎ A string to indicate whether the request will use CORS, or will be restricted to same-origin URLs. Sets request’s mode.

`credentials$RqI

%request の `credentials$m を設定する文字列 — 要請に伴う資格証は、次のいずれになるかを指示する ⇒＃ 常に送信される, 決して送信されない, 同一-生成元~URLに限り送信される ◎ A string indicating whether credentials will be sent with the request always, never, or only when sent to a same-origin URL. Sets request’s credentials.

`cache$RqI

%request の `cache$m を設定する文字列 — 要請は~browserの~cacheとどうヤリトリするかを指示する。 ◎ A string indicating how the request will interact with the browser’s cache to set request’s cache.

`redirect$RqI

%request の `redirect$m を設定する — %request は~redirectに際し，次のどれにするかを指示する ⇒＃ 追従する ／ ~errorにする ／ その~redirectを`不透明redirect絞込み応答$として返す ◎ A string indicating whether request follows redirects, results in an error upon encountering a redirect, or returns the redirect (in an opaque fashion). Sets request’s redirect.

`integrity$RqI

%request の `integrity$m を設定する — %request により~fetchされる資源の暗号用~hashを与える。 ◎ A cryptographic hash of the resource to be fetched by request. Sets request’s integrity.

`keepalive$RqI

%request の `keepalive$m を設定する真偽値。 ◎ A boolean to set request’s keepalive.

`signal$RqI

%request の `signal$m を設定する `AbortSignal$I 。 ◎ An AbortSignal to set request’s signal.

`window$RqI

~NULL 以外の値はとり得ない。 %request と `Window$I との結付きを断つために利用される。 ◎ Can only be null. Used to disassociate request from any Window.

%request . `method$m

%request の~HTTP~methodを返す。 既定では `GET^l 。 ◎ Returns request’s HTTP method, which is "GET" by default.

%request . `url$m

%request の~URLを文字列として返す。 ◎ Returns the URL of request as a string.

%request . `headers$m

%request に結付けられている一連の~headerからなる `Headres$I ~objを返す。 この~objには、~UAにより~network層にて追加される~headerは，織り込まれないことに注意 — 例：`Host^l ~headerなど。 ◎ Returns a Headers object consisting of the headers associated with request. Note that headers added in the network layer by the user agent will not be accounted for in this object, e.g., the "Host" header.

%request . `destination$m

%request により要請される資源の種類を返す — 例： `document^l ／ `script^l 。 ◎ Returns the kind of resource requested by request, e.g., "document" or "script".

%request . `referrer$m

%request の~referrerを返す。 その値は：

• %init 内に明示的に設定された場合、同一-生成元~URLになり得る。
• 空~文字列は、~referrerなしを指示する。
• 大域【環境？~obj？】の既定の~referrerになるときは、 `about:client^l になる。

これは、［ ~fetchする間に発行される要請の `Referer$h ~header ］の値を決定するときに利用される。

◎ Returns the referrer of request. Its value can be a same-origin URL if explicitly set in init, the empty string to indicate no referrer, and "about:client" when defaulting to the global’s default. This is used during fetching to determine the value of the `Referer` header of the request being made.

%request . `referrerPolicy$m

%request に結付けられている~referrer施策を返す。 これは、~fetchする間に %request の~referrer値を算出するときに利用される。 ◎ Returns the referrer policy associated with request. This is used during fetching to compute the value of the request’s referrer.

%request . `mode$m

%request に結付けられている`~mode$rqを返す。 それは，文字列であり、要請が［ ~CORSを利用する, 同一-生成元~URLに制約される ］のいずれになるかを指示する。 ◎ Returns the mode associated with request, which is a string indicating whether the request will use CORS, or will be restricted to same-origin URLs.

%request . `credentials$m

%request に結付けられている`資格証~mode$rqを返す。 それは，文字列であり、送信される要請に，資格証を［ 常に伴わせる, 決して伴わせない, 同一-生成元~URLに限り伴わせる ］のいずれになるかを指示する。 ◎ Returns the credentials mode associated with request, which is a string indicating whether credentials will be sent with the request always, never, or only when sent to a same-origin URL.

%request . `cache$m

%request に結付けられている`~cache~mode$rqを返す。 それは，文字列であり、［ 要請を~fetchする際に~browserの~cacheとどうヤリトリするか ］を指示する。 ◎ Returns the cache mode associated with request, which is a string indicating how the request will interact with the browser’s cache when fetching.

%request . `redirect$m

%request に結付けられている`~redirect~mode$rqを返す。 それは，文字列であり、［ ~fetchする間，要請に対する~redirectはどう取扱われるか ］を指示する。 既定では、`要請$は~redirectに追従することになる。 ◎ Returns the redirect mode associated with request, which is a string indicating how redirects for the request will be handled during fetching. A request will follow redirects by default.

%request . `integrity$m

%request の下位資源~完全性~metadataを返す。 それは、~fetchされる資源の暗号用~hashを与える。 その値は、空白で区切られた いくつかの~hashからなる。 `SRI$r ◎ Returns request’s subresource integrity metadata, which is a cryptographic hash of the resource being fetched. Its value consists of multiple hashes separated by whitespace. [SRI]

%request . `keepalive$m

%request が［ それを作成した大域~objの外で残存できるかどうか ］を指示する，真偽値を返す。 ◎ Returns a boolean indicating whether or not request can outlive the global in which it was created.

%request . `isReloadNavigation$m

%request が［ ~reload~navi用かどうか ］を指示する，真偽値を返す。 ◎ Returns a boolean indicating whether or not request is for a reload navigation.

%request . `isHistoryNavigation$m

%request が［ （前後~pageへの）履歴~navi用かどうか ］を指示する，真偽値を返す。 ◎ Returns a boolean indicating whether or not request is for a history navigation (a.k.a. back-foward navigation).

%request . `signal$m

%request に結付けられている通達を返す。 それは， `AbortSignal$I ~objであり、［ %request は中止されたかどうか, および その中止-~event~handler ］を指示する。 ◎ Returns the signal associated with request, which is an AbortSignal object indicating whether or not request has been aborted, and its abort event handler.

`Request(input, init)@m 構築子は、次を走らすモノトスル： ◎ The Request(input, init) constructor must run these steps:

1. %要請 ~LET ~NULL ◎ Let request be null.
2. %~fallback~mode ~LET ~NULL ◎ Let fallbackMode be null.
3. %~fallback資格証 ~LET ~NULL ◎ Let fallbackCredentials be null.
4. %基底~URL ~LET `現在の設定群~obj$の`~API用~基底~URL$enV ◎ Let baseURL be current settings object’s API base URL.
5. %通達 ~LET ~NULL ◎ Let signal be null.

6. ~IF［ %input は文字列である ］： ◎ If input is a string, then:

   1. %解析済み~URL ~LET `~URL構文解析する$( %input, %基底~URL ) ◎ Let parsedURL be the result of parsing input with baseURL.
   2. ~IF［ %解析済み~URL ~EQ `失敗^i ］ ⇒ ~THROW `TypeError$E ◎ If parsedURL is failure, then throw a TypeError.
   3. ~IF［ %解析済み~URL は`資格証を含む$url ］ ⇒ ~THROW `TypeError$E ◎ If parsedURL includes credentials, then throw a TypeError.
   4. %要請 ~SET 次のようにされた，新たな`要請$ ⇒ `~URL$rq ~SET %解析済み~URL ◎ Set request to a new request whose url is parsedURL.
   5. %~fallback~mode ~SET `cors^l ◎ Set fallbackMode to "cors".
   6. %~fallback資格証 ~SET `same-origin^l ◎ Set fallbackCredentials to "same-origin".

7. ~ELSE （ %input は `Request$I ~objである ） ： ◎ Otherwise (input is a Request object):

   1. %要請 ~SET %input の`要請$Rq ◎ Set request to input’s request.
   2. %通達 ~SET %input の`通達$Rq ◎ Set signal to input’s signal.
8. %生成元 ~LET `現在の設定群~obj$の`生成元$enV ◎ Let origin be current settings object’s origin.
9. %~window ~LET `client^l ◎ Let window be "client".
10. ~IF［ %要請 の`~window$rqは`環境~設定群~obj$である ］~AND［ ( %要請 の`~window$rqの`生成元$enV, %生成元 ) は`同一-生成元$である ］ ⇒ %~window ~SET %要請 の`~window$rq ◎ If request’s window is an environment settings object and its origin is same origin with origin, set window to request’s window.

11. %init[ "`window$RqI" ] に応じて：

    • ε ⇒ 何もしない
    • ~NULL ⇒ %~window ~SET `no-window^l
    • その他 ⇒ ~THROW `TypeError$E
    ◎ If init["window"] exists and is non-null, then throw a TypeError. ◎ If init["window"] exists, then set window to "no-window".
12. %要請 ~SET 次のように設定された，新たな`要請$ ⇒＃ `~URL$rq ~SET %要請 の`現在の~URL$rq, `~method$rq ~SET %要請 の`~method$rq, `~header~list$rq ~SET %要請 の`~header~list$rqの複製, `非安全~要請~flag$rq ~SET ~ON, `~client$rq ~SET `現在の設定群~obj$, `~window$rq ~SET %~window, `優先度$rq ~SET %要請 の`優先度$rq, `生成元$rq ~SET `client^l, `~referrer$rq ~SET %要請 の`~referrer$rq, `~referrer施策$rq ~SET %要請 の`~referrer施策$rq, `~mode$rq ~SET %要請 の`~mode$rq, `資格証~mode$rq ~SET %要請 の`資格証~mode$rq, `~cache~mode$rq ~SET %要請 の`~cache~mode$rq, `~redirect~mode$rq ~SET %要請 の`~redirect~mode$rq, `完全性~metadata$rq ~SET %要請 の`完全性~metadata$rq, `~keepalive~flag$rq ~SET %要請 の`~keepalive~flag$rq, `~reload~navi~flag$rq ~SET %要請 の`~reload~navi~flag$rq, `履歴~navi~flag$rq ~SET %要請 の`履歴~navi~flag$rq ◎ Set request to a new request with the following properties: ◎ URL • request’s current URL. method • request’s method. header list • A copy of request’s header list. unsafe-request flag • Set. client • Current settings object. window • window. priority • request’s priority. origin • "client". referrer • request’s referrer. referrer policy • request’s referrer policy. mode • request’s mode. credentials mode • request’s credentials mode. cache mode • request’s cache mode. redirect mode • request’s redirect mode. integrity metadata • request’s integrity metadata. keepalive flag • request’s keepalive flag. reload-navigation flag • request’s reload-navigation flag. history-navigation flag • request’s history-navigation flag.

13. ~IF［ %init は`空$mapでない ］： ◎ If init is not empty, then:

    1. ~IF［ %要請 の`~mode$rq ~EQ `navigate^l ］ ⇒ %要請 の`~mode$rq ~SET `same-origin^l ◎ If request’s mode is "navigate", then set it to "same-origin".
    2. %要請 の ⇒＃ `~reload~navi~flag$rq ~SET ~OFF, `履歴~navi~flag$rq ~SET ~OFF, `~referrer$rq ~SET `client^l, `~referrer施策$rq ~SET 空~文字列 ◎ Unset request’s reload-navigation flag. ◎ Unset request’s history-navigation flag. ◎ Set request’s referrer to "client" ◎ Set request’s referrer policy to the empty string.

    注記： これは、~swが要請 — 例えば，非同一-生成元~stylesheetからの画像 — を “~redirect” して 改変を加えたときに、元の~source（すなわち，非同一-生成元~stylesheet）から来たのでなく，その~swから来たように現れることを確保するために行われる。 元の~sourceは，~swと同じ種類の要請~すら生成できないかもしれないので、このことは重要になる。 これが行われないと、元の~sourceを信用する~serviceは，悪用されかねない — そこまで行き着くことは まず無さそうだが。 ◎ This is done to ensure that when a service worker "redirects" a request, e.g., from an image in a cross-origin style sheet, and makes modifications, it no longer appears to come from the original source (i.e., the cross-origin style sheet), but instead from the service worker that "redirected" the request. This is important as the original source might not even be able to generate the same kind of requests as the service worker. Services that trust the original source could therefore be exploited were this not done, although that is somewhat farfetched.

14. %~referrer ~LET %init[ "`referrer$RqI" ] ◎ ↓

15. ~IF［ %~referrer ~NEQ ε ］： ◎ If init["referrer"] exists, then: • Let referrer be init["referrer"].

    1. ~IF［ %~referrer ~EQ 空~文字列 ］ ⇒＃ %要請 の`~referrer$rq ~SET `no-referrer^l ◎ If referrer is the empty string, then set request’s referrer to "no-referrer".

    2. ~ELSE： ◎ Otherwise:

       1. %解析済み~referrer ~LET `~URL構文解析する$( %~referrer, %基底~URL ) ◎ Let parsedReferrer be the result of parsing referrer with baseURL.
       2. ~IF［ %解析済み~referrer ~EQ `失敗^i ］ ⇒ ~THROW `TypeError$E ◎ If parsedReferrer is failure, then throw a TypeError.

       3. ~IF［ 次のいずれかが満たされる ］…： ◎ If one of the following is true

          • %解析済み~referrer は次をいずれも満たす

            • `~cannot-be-a-base-URL~flag$url ~EQ ~ON
            • `~scheme$url ~EQ `about^l
            • `~path$url は 単独の文字列 `client^l からなる
            ◎ parsedReferrer’s cannot-be-a-base-URL flag is set, scheme is "about", and path contains a single string "client"
          • ( %解析済み~referrer の`生成元$url, %生成元 ) は`同一-生成元$でない ◎ parsedReferrer’s origin is not same origin with origin

          …ならば ⇒ %要請 の`~referrer$rq ~SET `client^l ◎ then set request’s referrer to "client".

       4. ~ELSE ⇒ %要請 の`~referrer$rq ~SET %解析済み~referrer ◎ Otherwise, set request’s referrer to parsedReferrer.

16. ~IF［ %init[ "`referrerPolicy$RqI" ] ~NEQ ε ］ ⇒ %要請 の`~referrer施策$rq ~SET その値 ◎ If init["referrerPolicy"] exists, then set request’s referrer policy to it.

17. %~mode ~LET ［ %init[ "`mode$RqI" ] ~NEQ ε ならば その値 ／ ~ELSE_ %~fallback~mode ］ ◎ Let mode be init["mode"] if it exists, and fallbackMode otherwise.
18. ~IF［ %~mode ~EQ `navigate^l ］ ⇒ ~THROW `TypeError$E ◎ If mode is "navigate", then throw a TypeError.
19. ~IF［ %~mode ~NEQ ~NULL ］ ⇒ %要請 の`~mode$rq ~SET %~mode ◎ If mode is non-null, set request’s mode to mode.
20. %資格証 ~LET ［ %init[ "`credentials$RqI" ] ~NEQ ε ならば その値 ／ ~ELSE_ %~fallback資格証 ］ ◎ Let credentials be init["credentials"] if it exists, and fallbackCredentials otherwise.
21. ~IF［ %資格証 ~NEQ ~NULL ］ ⇒ %要請 の`資格証~mode$rq ~SET %資格証 ◎ If credentials is non-null, set request’s credentials mode to credentials.
22. ~IF［ %init[ "`cache$RqI" ] ~NEQ ε ］ ⇒ %要請 の`~cache~mode$rq ~SET その値 ◎ If init["cache"] exists, then set request’s cache mode to it.
23. ~IF［ %要請 の`~cache~mode$rq ~EQ `only-if-cached^l ］~AND［ %要請 の`~mode$rq ~NEQ `same-origin^l ］ ⇒ ~THROW `TypeError$E ◎ If request’s cache mode is "only-if-cached" and request’s mode is not "same-origin", then throw a TypeError.
24. ~IF［ %init[ "`redirect$RqI" ] ~NEQ ε ］ ⇒ %要請 の`~redirect~mode$rq ~SET その値 ◎ If init["redirect"] exists, then set request’s redirect mode to it.
25. ~IF［ %init[ "`integrity$RqI" ] ~NEQ ε ］ ⇒ %要請 の`完全性~metadata$rq ~SET その値 ◎ If init["integrity"] exists, then set request’s integrity metadata to it.
26. %要請 の`~keepalive~flag$rq ~SET ［ %init[ "`keepalive$RqI" ] ~EQ ~T ならば ~ON ／ ~ELSE_ ~OFF ］ ◎ If init["keepalive"] exists, then set request’s keepalive flag if init["keepalive"] is true, and unset it otherwise.
27. %~method ~LET %init[ "`method$RqI" ] ◎ ↓

28. ~IF［ %~method ~NEQ ε ］： ◎ If init["method"] exists, then: • Let method be init["method"].

    1. ~IF［ %~method は`~method$でない ］~OR［ %~method は`禁止~method$である ］ ⇒ ~THROW `TypeError$E ◎ If method is not a method or method is a forbidden method, then throw a TypeError.
    2. %要請 の`~method$rq ~SET `~methodを正規化する$( %~method ) ◎ Normalize method. ◎ Set request’s method to method.
29. ~IF［ %init[ "`signal$RqI" ] ~NEQ ε ］ ⇒ %通達 ~SET その値 ◎ If init["signal"] exists, then set signal to it.
30. %R ~LET 次のようにされた新たな `Request$I ~obj ⇒ `要請$Rq ~SET %要請 ◎ Let r be a new Request object associated with request.

31. ~IF［ %通達 ~NEQ ~NULL ］ ⇒ `通達に追従させる$( %R の`通達$Rq, %通達 ) ◎ If signal is not null, then make r’s signal follow signal.

32. %R の`~Headers$Rq ~SET `新たな~Headers$( `request^l, %要請 の`~header~list$rq ) ◎ Set r’s headers to a new Headers object, whose header list is request’s header list, and guard is "request".

33. ~IF［ %init は`空$mapでない ］： ◎ If init is not empty, then:

    注記： %headers は，この~mode【 %~mode？ 】では許容されない~headerを包含するかもしれないので、この段で無毒化される。 他の場合、それは以前に無毒化されたか，特権的~APIによる作成-時から改変されてない。 ◎ The headers are sanitised as they might contain headers that are not allowed by this mode. Otherwise, they were previously sanitised or are unmodified since creation by a privileged API.

    1. %headers ~LET %init[ "`headers$RqI" ] ◎ ↓
    2. ~IF［ %headers ~EQ ε ］ ⇒ %headers ~SET %R の`~Headers$Rqの複製 — `~header~list$Hlも含めて複製する ◎ Let headers be a copy of r’s headers and its associated header list. ◎ If init["headers"] exists, then set headers to init["headers"].
    3. %R の`~Headers$Rqの`~header~list$Hlを空にする ◎ Empty r’s headers’s header list.

    4. ~IF［ %R の`要請$Rqの`~mode$rq ~EQ `no-cors^l ］： ◎ If r’s request’s mode is "no-cors", then:

       1. ~IF［ %R の`要請$Rqの`~method$rqは `~CORS安全とされる~method$でない ］ ⇒ ~THROW `TypeError$E ◎ If r’s request’s method is not a CORS-safelisted method, then throw a TypeError.
       2. %R の`~Headers$Rqの`~guard$Hl ~SET `request-no-cors^l ◎ Set r’s headers’s guard to "request-no-cors".
    5. ~IF［ %headers は `Headers$I ~objである ］ ⇒ %headers の`~header~list$Hl内の ~EACH( %~header ) に対し ⇒ %R の`~Headers$Rqに ( %~header の`名前$hd / %~header の`値$hd ) を`付加する$Hl ◎ If headers is a Headers object, then for each header in its header list, append header’s name/header’s value to r’s Headers object.
    6. ~ELSE ⇒ %R の`~Headers$Rqを %headers で`埋める$Hl ◎ Otherwise, fill r’s Headers object with headers.
34. %入力~本体 ~LET［ %input は `Request$I ~objであるならば %input の`要請$Rqの`本体$rq ／ ~ELSE_ ~NULL ］ ◎ Let inputBody be input’s request’s body if input is a Request object, and null otherwise.
35. %本体~member ~LET ［ %init[ "`body$RqI" ] ~NEQ ε ならば その値 ／ ~ELSE_ ~NULL ］ ◎ ↓
36. ~IF［［ %本体~member ~NEQ ~NULL ］~OR［ %入力~本体 ~NEQ ~NULL ］］~AND［ %要請 の`~method$rq ~IN { `GET$hm, `HEAD$hm } ］ ⇒ ~THROW `TypeError$E ◎ If either init["body"] exists and is non-null or inputBody is non-null, and request’s method is `GET` or `HEAD`, then throw a TypeError.
37. %本体 ~LET %入力~本体 ◎ Let body be inputBody.

38. ~IF［ %本体~member ~NEQ ~NULL ］： ◎ If init["body"] exists and is non-null, then:

    1. %内容~型 ~LET ~NULL ◎ Let Content-Type be null.
    2. %~keepalive ~LET %init[ "`keepalive$RqI" ] に応じて ⇒＃ ~T ならば ~ON ／ ~ELSE_ ~OFF ◎ ↓
    3. ( %本体, %内容~型 ) ~SET `本体と内容~型を抽出する$( %本体~member, %~keepalive ) ◎ If init["keepalive"] exists and is true, then set body and Content-Type to the result of extracting init["body"], with the keepalive flag set. ◎ Otherwise, set body and Content-Type to the result of extracting init["body"].
    4. ~IF［ %内容~型 ~NEQ ~NULL ］~AND［［ %R の`~Headers$Rqの`~header~list$Hl ］内に［ `Content-Type$h を`名前に持つ~header$ ］は無い ］ ⇒ %R の`~Headers$Rqに ( `Content-Type$h / %内容~型 ) を`付加する$Hl ◎ If Content-Type is non-null and r’s headers’s header list does not contain `Content-Type`, then append `Content-Type`/Content-Type to r’s headers.

39. ~IF［ %本体 ~NEQ ~NULL ］~AND［ %本体 の`~source$bd ~EQ ~NULL ］： ◎ If body is non-null and body’s source is null, then:

    1. ~IF［ %R の`要請$Rqの`~mode$rq ~NIN { `same-origin^l, `cors^l } ］ ⇒ ~THROW `TypeError$E ◎ If r’s request’s mode is neither "same-origin" nor "cors", then throw a TypeError.
    2. %R の`要請$Rqの`~CORS予行~利用~flag$rq ~SET ~ON ◎ Set r’s request’s use-CORS-preflight flag.
40. ~IF［ %入力~本体 ~EQ %本体 ］~AND［［ %input は`妨げられている$Bd ］~OR［ %input は`~lockされている$Bd ］］ ⇒ ~THROW `TypeError$E ◎ If inputBody is body and input is disturbed or locked, then throw a TypeError.

41. ~IF［ %入力~本体 ~EQ %本体 ］~AND［ %入力~本体 ~NEQ ~NULL ］： ◎ If inputBody is body and inputBody is non-null, then:

    1. %RS ~LET %入力~本体 の`~stream$bdと正確に同じ~dataを読取れるような `ReadableStream$I ~obj ◎ Let rs bs a ReadableStream object from which one can read the exactly same data as one could read from inputBody’s stream.

       これは、 形式変換~stream と ~pipe法 が精確に定義されたなら，より精確に指定されることになる。 issue #463 を見よ。 ◎ This will be specified more precisely once transform stream and piping are precisely defined. See issue #463.

       注記： これは %入力~本体 の`~stream$bdが，即時に［ `~lockされている$RS, かつ `妨げられている$RS ］ようにする。 ◎ This makes inputBody’s stream locked and disturbed immediately.

    2. %本体 ~SET 次のようにされた，新たな`本体$ ⇒＃ `~stream$bd ~SET %RS； `~source$bd ~SET %入力~本体 の`~source$bd； `総~byte数$bd ~SET %入力~本体 の`総~byte数$bd ◎ Set body to a new body whose stream is rs, whose source is inputBody’s source, and whose total bytes is inputBody’s total bytes.
42. %R の`要請$Rqの`本体$rq ~SET %本体 ◎ Set r’s request’s body to body.
43. %R の`~MIME型$Bd ~SET `~header~listから~MIME型を抽出する$( %R の`要請$Rqの`~header~list$rq ) ◎ Set r’s MIME type to the result of extracting a MIME type from r’s request’s header list.
44. ~RET %R ◎ Return r.

`method@m

取得子は、次を返すモノトスル ⇒ 此れの`要請$Rqの`~method$rq ◎ The method attribute’s getter, when invoked, must return the context object’s request’s method.

`url@m

取得子は、次の結果を返すモノトスル ⇒ `~URLを直列化する$( 此れの`要請$Rqの`~URL$rq ) ◎ The url attribute’s getter, when invoked, must return the context object’s request’s URL, serialized.

`headers@m

取得子は、次を返すモノトスル ⇒ 此れの`~Headers$Rq ◎ The headers attribute’s getter, when invoked, must return the context object’s headers.

`destination@m

取得子は、次を返すモノトスル ⇒ 此れの`要請$Rqの`行先$rq ◎ The destination attribute’s getter, when invoked, must return the context object’s request’s destination.

`referrer@m

取得子は、此れの`要請$Rqの`~referrer$rqに応じて，次を返すモノトスル：

`no-referrer^l

空~文字列

`client^l

`about:client^l

その他

`~URLを直列化する$( `~referrer$rq )

◎ The referrer attribute’s getter, when invoked, must return the empty string if the context object’s request’s referrer is "no-referrer", "about:client" if the context object’s request’s referrer is "client", and the context object’s request’s referrer, serialized, otherwise.

`referrerpolicy@m

取得子は、次を返すモノトスル ⇒ 此れの`要請$Rqの`~referrer施策$rq ◎ The referrerPolicy attribute’s getter, when invoked, must return the context object’s request’s referrer policy.

`mode@m

取得子は、次を返すモノトスル ⇒ 此れの`要請$Rqの`~mode$rq ◎ The mode attribute’s getter, when invoked, must return the context object’s request’s mode.

`credentials@m

取得子は、次を返すモノトスル ⇒ 此れの`要請$Rqの`資格証~mode$rq ◎ The credentials attribute’s getter, when invoked, must return the context object’s request’s credentials mode.

`cache@m

取得子は、次を返すモノトスル ⇒ 此れの`要請$Rqの`~cache~mode$rq ◎ The cache attribute’s getter, when invoked, must return the context object’s request’s cache mode.

`redirect@m

取得子は、次を返すモノトスル ⇒ 此れの`要請$Rqの`~redirect~mode$rq ◎ The redirect attribute’s getter, when invoked, must return the context object’s request’s redirect mode.

`integrity@m

取得子は、次を返すモノトスル ⇒ 此れの`要請$Rqの`完全性~metadata$rq ◎ The integrity attribute’s getter, when invoked, must return the context object’s request’s integrity metadata.

`keepalive@m

取得子は、次を返すモノトスル ⇒ 此れの`要請$Rqの`~keepalive~flag$rqに応じて ⇒＃ ~ON ならば ~T ／ ~OFF ならば ~F ◎ The keepalive attribute’s getter, when invoked, must return true if the context object’s request’s keepalive flag is set, and false otherwise.

`isReloadNavigation@m

取得子は、次を返すモノトスル ⇒ 此れの`要請$Rqの`~reload~navi~flag$rqに応じて ⇒＃ ~ON ならば ~T ／ ~OFF ならば ~F ◎ The isReloadNavigation attribute’s getter, when invoked, must return true if the context object’s request’s reload-navigation flag is set, and false otherwise.

`isHistoryNavigation@m

取得子は、次を返すモノトスル ⇒ 此れの`要請$Rqの`履歴~navi~flag$rqに応じて ⇒＃ ~ON ならば ~T ／ ~OFF ならば ~F ◎ The isHistoryNavigation attribute’s getter, when invoked, must return true if the context object’s request’s history-navigation flag is set, and false otherwise.

`signal@m

取得子は、次を返すモノトスル ⇒ 此れの`通達$Rq ◎ The signal attribute’s getter, when invoked, must return the context object’s signal.

`clone()@m

被呼出時には、次を走らすモノトスル： ◎ The clone() method, when invoked, must run these steps:

1. ~IF［ 此れは`妨げられている$Bd ］~OR［ 此れは`~lockされている$Bd ］ ⇒ ~THROW `TypeError$E ◎ If the context object is disturbed or locked, then throw a TypeError.
2. %~Request~objの~clone ~LET 新たな `Request$I ~obj ◎ Let clonedRequestObject be a new Request object.
3. %要請の~clone ~LET `要請を~cloneする$( 此れの`要請$Rq ) ◎ Let clonedRequest be the result of cloning the context object’s request.
4. %~Request~objの~clone の`要請$Rq ~SET %要請の~clone ◎ Set clonedRequestObject’s request to clonedRequest.
5. %~Request~objの~clone の`~Headers$Rq ~SET `新たな~Headers$( 此れの`~Headers$Rqの`~guard$Hl, %要請の~clone の`~header~list$Hl ) ◎ Set clonedRequestObject’s headers to a new Headers object with the following properties: ◎ header list • clonedRequest’s header list. guard • The context object’s headers’s guard.
6. `通達に追従させる$( %~Request~objの~clone の`通達$Rq, 此れの`通達$Rq ) ◎ Make clonedRequestObject’s signal follow the context object’s signal.
7. ~RET %~Request~objの~clone ◎ Return clonedRequestObject.

5.4. `Response^I ~class

[`Response$mC(
    optional `BodyInit$I? %body = null,
    optional `ResponseInit$I %init
), Exposed=(Window,Worker)]
interface `Response@I {
  [NewObject] static `Response$I `error$m();
  [NewObject] static `Response$I `redirect$m(
      `USVString$I %url,
      optional unsigned short %status = 302
  );

  readonly attribute `ResponseType$I `type$m;

  readonly attribute `USVString$I `url$m;
  readonly attribute boolean `redirected$m;
  readonly attribute unsigned short `status$m;
  readonly attribute boolean `ok$m;
  readonly attribute `ByteString$I `statusText$m;
  [SameObject] readonly attribute `Headers$I `headers$m;
  readonly attribute Promise<`Headers$I> `trailer$m;

  [NewObject] `Response$I `clone$m();
};
`Response$I includes `Body$I;

dictionary `ResponseInit@I {
  unsigned short `status@RsI = 200;
  `ByteString$I `statusText@RsI = "";
  `HeadersInit$I `headers@RsI;
};

enum `ResponseType@I {
  "basic",  "cors",   "default",
  "error",  "opaque", "opaqueredirect"
};

`Response$I ~objには、次のものが結付けられる： ◎ ↓

`応答@Rs

`応答$。 ◎ A Response object has an associated response (a response).

`~Headers@Rs

~NULL または `Headers$I ~obj — 初期~時は ~NULL 。 ◎ A Response object also has an associated headers (null or a Headers object), initially null.

`~trailer~promise@Rs

~promise。 ◎ A Response object also has an associated trailer promise (a promise).＼

`trailer$m 属性から利用される。 ◎ Used for the trailer attribute.

`新たな~Response@( %応答, %~Headers ) という表記は、次のようにされた，新たな `Response$I ~objを表すとする ⇒＃ `応答$Rs ~SET %応答, `~Headers$Rs ~SET %~Headers

【 この表記は、簡潔に述べるために，この訳に導入したものである。 】

`Response$I ~objの`本体$Bdは、その`応答$Rsの`本体$rsである。 ◎ A Response object’s body is its response’s body.

`Response(body, init)@m

この構築子の被呼出時には、次を走らすモノトスル： ◎ The Response(body, init) constructor, when invoked, must run these steps:

1. ~IF［ %init[ "`status$RsI" ] ~NIN { `200^st 〜 `599^st } ］ ⇒ ~THROW `RangeError^E ◎ If init["status"] is not in the range 200 to 599, inclusive, then throw a RangeError.
2. ~IF［ %init[ "`statusText$RsI" ] は `reason-phrase$p ~token生成規則に合致しない ］ ⇒ ~THROW `TypeError$E ◎ If init["statusText"] does not match the reason-phrase token production, then throw a TypeError.
3. %応答 ~LET 新たな`応答$ ◎ ↓
4. %R ~LET `新たな~Response$( %応答, `新たな~Headers$( `response^l, %応答 の`~header~list$rs ) ) ◎ Let r be a new Response object associated with a new response. ◎ Set r’s headers to a new Headers object, whose header list is r’s response’s header list, and guard is "response".
5. %応答 の`~status$rs ~SET %init[ "`status$RsI" ] ◎ Set r’s response’s status to init["status"].
6. %応答 の`~status~message$rs ~SET %init[ "`statusText$RsI" ] ◎ Set r’s response’s status message to init["statusText"].
7. ~IF［ %init[ "`headers$RsI" ] ~NEQ ε ］ ⇒ %R の`~Headers$Rsを %init[ "`headers$RsI" ] で`埋める$Hl ◎ If init["headers"] exists, then fill r’s headers with init["headers"].

8. ~IF［ %body ~NEQ ~NULL ］： ◎ If body is non-null, then:

   1. ~IF［ %init[ "`status$RsI" ] は`~null本体~status$である ］ ⇒ ~THROW `TypeError$E ◎ If init["status"] is a null body status, then throw a TypeError.

      注記： `101$st は、他所におけるその利用に因り，`~null本体~status$に含まれているので、この段には影響しない。 ◎ 101 is included in null body status due to its use elsewhere. It does not affect this step.

   2. %内容~型 ~LET ~NULL ◎ Let Content-Type be null.
   3. ( %R の`応答$Rsの`本体$rs, %内容~型 ) ~SET `本体と内容~型を抽出する$( %body ) ◎ Set r’s response’s body and Content-Type to the result of extracting body.
   4. ~IF［ %内容~型 ~NEQ ~NULL ］~AND［ %R の`応答$Rsの`~header~list$rs内に［ `Content-Type$h を`名前に持つ~header$ ］は無い ］ ⇒ %R の`応答$Rsの`~header~list$rsに`~headerを付加する$( `Content-Type$h / %内容~型 ) ◎ If Content-Type is non-null and r’s response’s header list does not contain `Content-Type`, then append `Content-Type`/Content-Type to r’s response’s header list.
9. %R の`~MIME型$Bd ~SET `~header~listから~MIME型を抽出する$( %R の`応答$Rsの`~header~list$rs ) ◎ Set r’s MIME type to the result of extracting a MIME type from r’s response’s header list.
10. %R の`応答$Rsの`~HTTPS状態$rs ~SET `現在の設定群~obj$の`~HTTPS状態$enV ◎ Set r’s response’s HTTPS state to current settings object’s HTTPS state.
11. `新たな~Headers$( `immutable^l ) で %R の`~trailer~promise$Rsを`解決する$ ◎ Resolve r’s trailer promise with a new Headers object whose guard is "immutable".
12. ~RET %R ◎ Return r.

`error()@m

この静的~methodの被呼出時には、次を走らすモノトスル： ◎ The static error() method, when invoked, must run these steps:

1. ~RET `新たな~Response$( 新たな`~network~error$, `新たな~Headers$( `immutable^l ) ) ◎ Let r be a new Response object, whose response is a new network error. ◎ Set r’s headers to a new Headers object whose guard is "immutable". ◎ Return r.

`redirect(url, status)@m

この静的~methodの被呼出時には、次を走らすモノトスル： ◎ The static redirect(url, status) method, when invoked, must run these steps:

1. %解析済み~URL ~LET `~URL構文解析する$( %url, `現在の設定群~obj$の`~API用~基底~URL$enV ) ◎ Let parsedURL be the result of parsing url with current settings object’s API base URL.
2. ~IF［ %解析済み~URL ~EQ `失敗^i ］ ⇒ ~THROW `TypeError$E ◎ If parsedURL is failure, then throw a TypeError.
3. ~IF［ %status は `~redirect~status$でない ］ ⇒ ~THROW `RangeError^E ◎ If status is not a redirect status, then throw a RangeError.
4. %応答 ~LET 新たな`応答$ ◎ ↓
5. %R ~LET `新たな~Response$( %応答, `新たな~Headers$( `immutable^l ) ) ◎ Let r be a new Response object, whose response is a new response. ◎ Set r’s headers to a new Headers object whose guard is "immutable".
6. %応答 の`~status$rs ~SET %status ◎ Set r’s response’s status to status.
7. %応答 の`~header~list$rsに`~headerを付加する$( `Location$h / 次の結果 ) ⇒ `同型に符号化する$( `~URLを直列化する$( %解析済み~URL ) ) ◎ Append `Location` to parsedURL, serialized and isomorphic encoded, in r’s response’s header list.
8. ~RET %R ◎ Return r.

`type@m

取得子は、次を返すモノトスル ⇒ 此れの`応答$Rsの`種別$rs ◎ The type attribute’s getter, when invoked, must return the context object’s response’s type.

`url@m

取得子は、次を走らすモノトスル：

1. %~url ~LET 此れの`応答$Rs の`~URL$rs
2. ~IF［ %~url ~EQ ~NULL ］ ⇒ ~RET 空~文字列
3. ~RET `~URLを直列化する$( %~url, `素片は除外する^i ) `URL$r

◎ The url attribute’s getter, when invoked, must return the empty string if the context object’s response’s URL is null and the context object’s response’s URL, serialized with the exclude-fragment flag set, otherwise. [URL]

`redirected@m

取得子は、次を返すモノトスル ⇒ 此れの`応答$Rsの`~URL~list$rs内に複数の~itemがあるならば ~T ／ ~ELSE_ ~F ◎ The redirected attribute’s getter, when invoked, must return true if the context object’s response’s URL list has more than one item, and false otherwise.

注記： ~redirectの結果による`応答$をはじくときは、~APIを通して直に行う — 例えば `fetch(url, { redirect:"error" })^c のように。 こうすれば、安全でないかもしれない`応答$が不用意に漏洩されるのを~~防げる。 ◎ To filter out responses that are the result of a redirect, do this directly through the API, e.g., fetch(url, { redirect:"error" }). This way a potentially unsafe response cannot accidentally leak.

`status@m

取得子は、次を返すモノトスル ⇒ 此れの`応答$Rsの`~status$rs ◎ The status attribute’s getter, when invoked, must return the context object’s response’s status.

`ok@m

取得子は、次を返すモノトスル ⇒ 此れの`応答$Rsの`~status$rsは `~ok~status$である ならば ~T ／ ~ELSE_ ~F ◎ The ok attribute’s getter, when invoked, must return true if the context object’s response’s status is an ok status, and false otherwise.

`statusText@m

取得子は、次を返すモノトスル ⇒ 此れの`応答$Rsの`~status~message$rs ◎ The statusText attribute’s getter, when invoked, must return the context object’s response’s status message.

`headers@m

取得子は、次を返すモノトスル ⇒ 此れの`~Headers$Rs ◎ The headers attribute’s getter, when invoked, must return the context object’s headers.

`trailer@m

取得子は、次を返すモノトスル ⇒ 此れの`~trailer~promise$Rs ◎ The trailer attribute’s getter, when invoked, must return the context object’s trailer promise.

`clone()@m

被呼出時には、次を走らすモノトスル： ◎ The clone() method, when invoked, must run these steps:

1. ~IF［ 此れは`妨げられている$Bd ］~OR［ 此れは`~lockされている$Bd ］ ⇒ ~THROW `TypeError$E ◎ If the context object is disturbed or locked, then throw a TypeError.
2. %応答の~clone ~LET `応答を~cloneする$( 此れの`応答$Rs ) ◎ Let clonedResponseObject be a new Response object. ◎ Let clonedResponse be the result of cloning the context object’s response.
3. %~Response~objの~clone ~LET `新たな~Response$( %応答の~clone, `新たな~Headers$( 此れの`~Headers$Rsの`~guard$Hl, %応答の~clone の`~header~list$rs ) ) ◎ Set clonedResponseObject’s response to clonedResponse. ◎ Set clonedResponseObject’s headers to a new Headers object whose header list is set to clonedResponse’s header list, and guard is the context object’s headers’s guard.
4. 此れの`~trailer~promise$Rsの`充足-時には$ ⇒ `新たな~Headers$( `immutable^l, %応答の~clone の`~trailer$rs ) で %~Response~objの~clone の`~trailer~promise$Rsを`解決する$ ◎ Upon fulfillment of the context object’s trailer promise, resolve clonedResponseObject’s trailer promise with a new Headers object whose guard is "immutable", and whose header list is clonedResponse’s trailer.
5. ~RET %~Response~objの~clone ◎ Return clonedResponseObject. ◎ Return clonedResponse.

5.5. `fetch^m ~method

partial interface mixin `WindowOrWorkerGlobalScope$I {
  [NewObject] Promise<`Response$I> `fetch$m(
      `RequestInfo$I %input,
      optional `RequestInit$I %init
  );
};

`fetch(input, init)@m ~methodの被呼出時には、次を走らすモノトスル： ◎ The fetch(input, init) method, must run these steps:

1. %~promise ~LET `新たな~promise$ ◎ Let p be a new promise.

2. %~Request~obj ~LET ( %input, %init ) を引数に［ `Request$I の構築子の初期~値 ］を呼出した結果 ⇒ ただし、例外が投出された場合は ⇒＃ その例外で %~promise を`却下する$； ~RET %~promise ◎ Let requestObject be the result of invoking the initial value of Request as constructor with input and init as arguments. If this throws an exception, reject p with it and return p.

3. %要請 ~LET %~Request~obj の`要請$Rq ◎ Let request be requestObject’s request.

4. ~IF［ %~Request~obj の`通達$Rqの`中止-済み~flag$aB ~EQ ~ON ］： ◎ If requestObject’s signal’s aborted flag is set, then:

   1. `~fetchを中止する$( %~promise, %要請, ~NULL ) ◎ Abort fetch with p, request, and null.
   2. ~RET %~promise ◎ Return p.
5. ~IF［ %要請 の`~client$rqの`大域~obj$enVは `ServiceWorkerGlobalScope$I ~objである ］ ⇒ %要請 の`~sw~mode$rq ~SET `none^l ◎ If request’s client’s global object is a ServiceWorkerGlobalScope object, then set request’s service-workers mode to "none".
6. %~Response~obj ~LET 次のようにされた，新たな `Response$I ~obj ⇒ `~Headers$Rs ~SET `新たな~Headers$( `immutable^l ) 【 %~Response~obj の`応答$Rsは、後で設定される。】 ◎ Let responseObject be a new Response object and a new associated Headers object whose guard is "immutable".

7. %局所的に中止された ~LET ~F ◎ Let locallyAborted be false.

   注記： これは、~fetchの~callと同じ~threadから中止するよう要請されたとき，~promiseを却下する時機を予測-可能にするためにある。 ◎ This lets us reject promises with predictable timing, when the request to abort comes from the same thread as the call to fetch.

8. `通達に~algoを追加する$( %~Request~obj の`通達$Rq, 次を走らす手続き )： ◎ Add the following abort steps to requestObject’s signal:

   1. %局所的に中止された ~SET ~T ◎ Set locallyAborted to true.
   2. `~fetchを中止する$( %~promise, %要請, %~Response~obj ) ◎ Abort fetch with p, request, and responseObject.
   3. 進行中の~fetchを`終了させる$( `中止~flag^i ~SET ~ON ) ◎ Terminate the ongoing fetch with the aborted flag set.

9. この段は`並列的$に走らす： ◎ Run the following in parallel:

   %要請 を用いて`~fetch$する — その結果の %応答 に対し： ◎ Fetch request.

   • `応答を処理する$ときは、次の下位手続きを走らす： ◎ To process response for response, run these substeps:

     1. ~IF［ %局所的に中止された ~EQ ~T ］ ⇒ ~RET ◎ If locallyAborted is true, terminate these substeps.
     2. ~IF［ %応答 の`中止~flag$rs ~EQ ~ON ］ ⇒＃ `~fetchを中止する$( %~promise, %要請, %~Response~obj )； ~RET ◎ If response’s aborted flag is set, then abort fetch with p, request, and responseObject, and terminate these substeps.
     3. ~IF［ %応答 は`~network~error$である ］ ⇒＃ `TypeError$E で %~promise を`却下する$； ~RET ◎ If response is a network error, then reject p with a TypeError and terminate these substeps.
     4. %~Response~obj の`応答$Rs ~SET %応答 ◎ Associate responseObject with response.
     5. %~Response~obj で %~promise を`解決する$ ◎ Resolve p with responseObject.

   • `応答の~doneを処理する$ときは、次の下位手続きを走らす： ◎ To process response done for response, run these substeps:

     1. ~IF［ %局所的に中止された ~EQ ~T ］ ⇒ ~RET ◎ If locallyAborted is true, terminate these substeps.
     2. %~trailer~obj ~LET `新たな~Headers$( `immutable^l ) ◎ Let trailerObject be a new Headers object whose guard is "immutable".

     3. ~IF［ %応答 の`~trailerは失敗した~flag$rs ~EQ ~ON ］： ◎ If response’s trailer failed flag is set, then:

        1. %~error ~LET %応答 の`中止~flag$rsに応じて ⇒ ~ON ならば `AbortError$E 例外 ／ ~OFF ならば `TypeError$E ◎ ↓
        2. %~error で %~Response~obj の`~trailer~promise$Rsを`却下する$ ◎ If response’s aborted flag is set, reject responseObject’s trailer promise with an "AbortError" DOMException. ◎ Otherwise, reject responseObject’s trailer promise with a TypeError.
        3. ~RET ◎ Terminate these substeps.
     4. %~trailer~obj の`~header~list$Hl ~SET %応答 の`~trailer$rs ◎ Associate trailerObject with response’s trailer.
     5. %~trailer~obj で %~Response~obj の`~trailer~promise$Rsを`解決する$ ◎ Resolve responseObject’s trailer promise with trailerObject.
10. ~RET %~promise ◎ Return p.

`~fetchを中止する@ ときは、所与の ( %~promise, %要請, %~Response~obj ) に対し、次を走らす： ◎ To abort fetch with a promise, request, and responseObject, run these steps:

1. %~error ~LET `AbortError$E 例外 ◎ Let error be an "AbortError" DOMException.

2. %~error で %~promise を`却下する$ ◎ Reject promise with error.

   注記： %~promise がすでに充足されていた場合、これは何もしない。 ◎ This is a no-op if promise has already fulfilled.

3. ~IF［ %要請 の`本体$rq ~NEQ ~NULL ］~AND［ %要請 の`本体$rqは`読取可$RSである ］ ⇒ %要請 の`本体$rqを %~error で`取消す$RS ◎ If request’s body is not null and is readable, then cancel request’s body with error.
4. ~IF［ %~Response~obj ~EQ ~NULL ］ ⇒ ~RET ◎ If responseObject is null, then return.

5. %~error で %~Response~obj の`~trailer~promise$Rsを`却下する$ ◎ Reject responseObject’s trailer promise with error.

   注記： %~Response~obj の`~trailer~promise$Rs がすでに充足されていた場合、これは何もしない。 ◎ This is a no-op if responseObject’s trailer promise has already fulfilled.

6. %応答 ~LET %~Response~obj の`応答$Rs ◎ Let response be responseObject’s response.
7. ~IF［ %応答 の`本体$rs ~NEQ ~NULL ］~AND［ %応答 の`本体$rsは`読取可$RSである ］ ⇒ %応答 の`本体$rsを %~error で`~errorにする$RS ◎ If response’s body is not null and is readable, then error response’s body with error.

5.6. ~garbage収集

~UAは、進行中の~fetchを — その終了が~scriptを通して観測-可能にならないならば — `終了させ$てもヨイ。 ◎ The user agent may terminate an ongoing fetch if that termination is not observable through script.

注記： “~scriptを通して観測-可能にならない” とは、［ `fetch()$m の引数や返値を通して観測-可能にならない ］ことを意味する。 ~serverとの別の通信を通して可能になるものなどの，他の仕方は含まれない。 ◎ "Observable through script" means observable through fetch()’s arguments and return value. Other ways, such as communicating with the server through a side-channel are not included.

注記： ~serverは、~garbage収集が~~起きたことを観測できる — 例えば［ `WebSocket$I ／ `XMLHttpRequest$I ］~objを通してなど。 ◎ The server being able to observe garbage collection has precedent, e.g., with WebSocket and XMLHttpRequest objects.

fetch(`https://www.example.com/^l)

window.promise = fetch(`https://www.example.com/^l)

window.promise = fetch(`https://www.example.com/^l)
  .then( %res => %res.headers )

fetch(`https://www.example.com/^l)
  .then( %res => %res.body.getReader().closed )

window.promise = fetch(`https://www.example.com/^l)
  .then( %res => %res.body.getReader().closed )

fetch(`https://www.example.com/^l)
  .then( %res => {
    %res.body.getReader().closed
      .then(() => console.log(`~streamは~closeされた！^l))
  })

6.1. 接続

`~WebSocket接続を得る@ ときは、所与の ( %~url ) に対し，次の手続きを走らす： ◎ To obtain a WebSocket connection, given a url, run these steps:

1. %host ~LET %~url の`~host$url ◎ Let host be url’s host.
2. %port ~LET %~url の`~port$url ◎ Let port be url’s port.
3. %secure ~LET ［ %~url の`~scheme$url ~EQ `http^l ならば ~F ／ ~ELSE_ ~T ］ ◎ Let secure be false, if url’s scheme is "http", and true otherwise.
4. ( %host, %port, %secure ) を与える下で， WebSocket Protocol 4.1 節 の 前半の手続き の段 2 〜 5 に言明されている要件に従って，~WebSocket接続を確立する `WSP$r ◎ Follow the requirements stated in step 2 to 5, inclusive, of the first set of steps in section 4.1 of The WebSocket Protocol to establish a WebSocket connection. [WSP]
5. ~RET［ 接続は確立されたなら それ ／ ~ELSE_ `失敗^i ］ ◎ If that established a connection, return it, and return failure otherwise.

注記： ~WebSocket接続は、異なる~propを運ぶ少し異なる~~構成なので，共有できないが、 “普通の” `接続$にごく近いものである。 ◎ Although structured a little differently, carrying different properties, and therefore not shareable, a WebSocket connection is very close to identical to an "ordinary" connection.

6.2. ~opening~handshake

`~WebSocket~protocol~handshakeを確立する@ ときは、所与の ( %~url, %~protocol~list, %~client ) に対し，次の手続きを走らす: ◎ To establish a WebSocket connection, given a url, protocols, and client, run these steps:

1. %要請~URL ~LET %~url の複製 ◎ ↓

2. %要請~URL の`~scheme$url ~SET ［ %~url の`~scheme$url ~EQ `ws^l ならば `http^l ／ ~ELSE_ `https^l ］ ◎ Let requestURL be a copy of url, with its scheme set to "http", if url’s scheme is "ws", and to "https" otherwise.

   注記： この~schemeの変更-は、`~fetching$に上手く統合するために本質的になる。 例えば HSTS は、こうしないと働かなくなる。 これは、旧来の遺物である — ~WebSocketを別の~schemeにする~~本当の理由はない。 `HSTS$r ◎ This change of scheme is essential to integrate well with fetching. E.g., HSTS would not work without it. There is no real reason for WebSocket to have distinct schemes, it’s a legacy artefact. [HSTS]

3. %要請 ~LET 次のようにされた新たな`要請$ ⇒＃ `~URL$rq ~SET %要請~URL, `~client$rq ~SET %~client, `~sw~mode$rq ~SET `none^l, `~referrer$rq ~SET `no-referrer^l, `同期~flag$rq ~SET ~ON, `~mode$rq ~SET `websocket^l, `資格証~mode$rq ~SET `include^l, `~cache~mode$rq ~SET `no-store^l, `~redirect~mode$rq ~SET `error^l ◎ Let request be a new request, whose URL is requestURL, client is client, service-workers mode is "none", referrer is "no-referrer", synchronous flag is set, mode is "websocket", credentials mode is "include", cache mode is "no-store", and redirect mode is "error".
4. %要請 の`~header~list$rqに`~headerを付加する$( `Upgrade$h / `websocket^bl ) ◎ Append `Upgrade`/`websocket` to request’s header list.
5. %要請 の`~header~list$rqに`~headerを付加する$( `Connection$h / `Upgrade^bl ) ◎ Append `Connection`/`Upgrade` to request’s header list.

6. %~key値 ~LET `同型に符号化する$( `~forgiving-base64符号化する$( ~randomに選定された 16 ~byteの値 ) ) ◎ Let keyValue be a nonce consisting of a randomly selected 16-byte value that has been forgiving-base64-encoded and isomorphic encoded.

   例えば，~randomに選定された値が~byte列［ `01^X `02^X `03^X `04^X `05^X `06^X `07^X `08^X `09^X `0a^X `0b^X `0c^X `0d^X `0e^X `0f^X `10^X ］ならば、 %~key値 は，それを~forgiving-base64符号化した結果 `AQIDBAUGBwgJCgsMDQ4PEC==^l を同型に符号化した結果 `AQIDBAUGBwgJCgsMDQ4PEC==^bl になる。 ◎ If the randomly selected value was the byte sequence 0x01 0x02 0x03 0x04 0x05 0x06 0x07 0x08 0x09 0x0a 0x0b 0x0c 0x0d 0x0e 0x0f 0x10, keyValue would be forgiving-base64-encoded to "AQIDBAUGBwgJCgsMDQ4PEC==" and isomorphic encoded to `AQIDBAUGBwgJCgsMDQ4PEC==`.

7. %要請 の`~header~list$rqに`~headerを付加する$( `Sec-WebSocket-Key^h / %~key値 ) ◎ Append `Sec-WebSocket-Key`/keyValue to request’s header list.
8. %要請 の`~header~list$rqに`~headerを付加する$( `Sec-WebSocket-Version^h / `13^bl ) ◎ Append `Sec-WebSocket-Version`/`13` to request’s header list.
9. %~protocol~list 内の ~EACH( %~protocol ) に対し ⇒ %要請 の`~header~list$rq内で`~headerを結合する$( `Sec-WebSocket-Protocol^h / %~protocol ) ◎ For each protocol in protocols, combine `Sec-WebSocket-Protocol`/protocol in request’s header list.

10. %permessageDeflate ~LET ~UAにより定義される `permessage-deflate^l 拡張 `~header$`値$hd `WSP$r ◎ Let permessageDeflate be a user-agent defined "permessage-deflate" extension header value. [WSP]

    `permessage-deflate; client_max_window_bits^bl
11. %要請 の`~header~list$rqに`~headerを付加する$( `Sec-WebSocket-Extensions^h / %permessageDeflate ) ◎ Append `Sec-WebSocket-Extensions`/permessageDeflate to request’s header list.
12. %応答 ~LET %要請 を`~fetch$した結果 ◎ Let response be the result of fetching request.
13. ~IF［ %応答 は`~network~error$である ］~OR［ %応答 の`~status$rs ~NEQ `101$st ］ ⇒ `~WebSocket接続を失敗させる$ ◎ If response is a network error or its status is not 101, fail the WebSocket connection.

14. ~IF［ %~protocol~list は空でない ］~AND［ `~header~listから値を抽出する$( %応答 の`~header~list$rs, `Sec-WebSocket-Protocol^h ) ~IN { ~NULL, `失敗^i, 空~byte列 } ］ ⇒ `~WebSocket接続を失敗させる$ ◎ If protocols is not the empty list and extracting header list values given `Sec-WebSocket-Protocol` and response’s header list results in null, failure, or the empty byte sequence, then fail the WebSocket connection.

    注記： これは、WebSocket Protocol にて定義される，この~headerに対する検査と異なる。 そこでは、~clientから要請されていない下位protocolがある場合しか受持ってなかった。 ここでは、~clientから要請された下位protocolが~serverから承認されていない場合も受持つ。 ◎ This is different from the check on this header defined by The WebSocket Protocol. That only covers a subprotocol not requested by the client. This covers a subprotocol requested by the client, but not acknowledged by the server.

15. WebSocket Protocol 4.1 節 の後半の手続きの段 2 〜 6 に言明されている要件に従って， %応答 を検証する — これは、`~WebSocket接続を失敗させる$か, `~WebSocket接続は確立される$ことになる。 ◎ Follow the requirements stated step 2 to step 6, inclusive, of the last set of steps in section 4.1 of The WebSocket Protocol to validate response. This either results in fail the WebSocket connection or the WebSocket connection is established.

`~WebSocket接続を失敗させる@ 【参照先】 ／ `~WebSocket接続は確立される@ 【参照先】 は、 WebSocket Protocol にて定義される。 `WSP$r ◎ Fail the WebSocket connection and the WebSocket connection is established are defined by The WebSocket Protocol. [WSP]

警告： ~redirectを追わない理由は、~web~browser文脈に深刻な保安~問題をもたらすからである。 そのため、この~handshakeは，一般に制約される。 例えば、ある~hostが ある~pathに~WebSocket~serverを立てていたとする。 その~hostが，別の~pathにも `open HTTP redirector^_ を立てた時点で、~WebSocket~URLを与え得るような どの~scriptも，その~URLの~hostnameが~~正しいことを検査したとしても，~internet上の~~任意の~hostと通信する（したがって秘匿情報を共有し得る）ように騙すことが可能になる。 ◎ The reason redirects are not followed and this handshake is generally restricted is because it could introduce serious security problems in a web browser context. For example, consider a host with a WebSocket server at one path and an open HTTP redirector at another. Suddenly, any script that can be given a particular WebSocket URL can be tricked into communicating to (and potentially sharing secrets with) any host on the internet, even if the script checks that the URL has the right hostname.

~HTTP~header層の区分

~HTTP~redirectの不可分的な取扱い

~redirect（`応答$のうち，［ その`~status$rs, または その`内部~応答$の`~status$rs ］が `~redirect~status$であるもの）は、~APIには公開されない。 仮に~redirectを公開したなら，~XSS攻撃を通して情報が漏洩されることになる。 ◎ Redirects (a response whose status or internal response’s (if any) status is a redirect status) are not exposed to APIs. Exposing redirects might leak information not otherwise available through a cross-site scripting attack.

［ `HttpOnly^bl 付きの `Cookie$h ］が含まれる~URL（例えば `https://example.org/auth^s ）への~fetchが，秘匿情報を包含する~URL（例えば `https://other-origin.invalid/4af955781ea1c84a3b11^s ）への~redirectになることもある。 仮に~redirectが公開されたなら、この秘匿情報は，~XSS攻撃により入手されることになる。 ◎ A fetch to https://example.org/auth that includes a Cookie marked HttpOnly could result in a redirect to https://other-origin.invalid/4af955781ea1c84a3b11. This new URL contains a secret. If we expose redirects that secret would be available through a cross-site scripting attack.

安全な~CORS~protocolを設定しておくための基本

IP 認証や~firewallを通して~dataが保護されている資源（不幸なことに，未だに ありふれている）に対する`~CORS~protocol$の利用は、安全でない。 （`~CORS~protocol$を考案する必要が生じた理由は、それである。） ◎ For resources where data is protected through IP authentication or a firewall (unfortunately relatively common still), using the CORS protocol is unsafe. (This is the reason why the CORS protocol had to be invented.)

しかしながら、次の`~header$を利用している場合は安全である： ◎ However, otherwise using the following header is safe:

Access-Control-Allow-Origin: *

資源が~cookieや~HTTP認証に基づく追加的な情報を公開するときでも、上の`~header$の利用は，それを露出させない。 これは、 curl や wget などにより すでに共有されているかのごとく，資源を `XMLHttpRequest$I などの~APIと共有する。 ◎ Even if a resource exposes additional information based on cookie or HTTP authentication, using the above header will not reveal it. It will share the resource with APIs such as XMLHttpRequest, much like it is already shared with curl and wget.

したがって，言い換えれば、（ curl や wget などを利用して）~webに接続している任意の機器からは~accessし得ないような資源においては、上述の`~header$は含まれない。 ~accessし得る場合については，その様にすることは全く妥当である。 ◎ Thus in other words, if a resource cannot be accessed from a random device connected to the web using curl and wget the aforementioned header is not to be included. If it can be accessed however, it is perfectly fine to do so.

~CORS~protocolと~HTTP~cache

`~CORS~protocol$の要件が，［ `Access-Control-Allow-Origin$hを［ `*^bl ／ 静的な`生成元$ ］に設定する ］より複雑なものである場合、 `Vary$h を利用することになる。 `HTML$r `HTTP$r `HTTP-SEMANTICS$r `HTTP-COND$r `HTTP-CACHING$r `HTTP-AUTH$r ◎ If CORS protocol requirements are more complicated than setting `Access-Control-Allow-Origin` to * or a static origin, `Vary` is to be used. [HTML] [HTTP] [HTTP-SEMANTICS] [HTTP-COND] [HTTP-CACHING] [HTTP-AUTH]

Vary: Origin

~serverは、ある資源において［ その資源への要請が`~CORS要請$である場合に限り，応答~内に `Access-Control-Allow-Origin$h を送信する ］よう環境設定されているとする。 このとき、 `Vary$h が利用されないと何が起こるか考える。 ~UAが その資源への非`~CORS要請$に対する応答を受信したとき（例えば、`~navi要請$の結果として）、~UAは， `Access-Control-Allow-Origin$h を欠く応答 — “非~CORS応答” — を~cacheすることになる。 後に，~UAが同じ資源への`~CORS要請$に遭遇した場合にも、この “非~CORS応答” を利用することになる。 ◎ In particular, consider what happens if `Vary` is not used and a server is configured to send `Access-Control-Allow-Origin` for a certain resource only in response to a CORS request. When a user agent receives a response to a non-CORS request for that resource (for example, as the result of a navigation request), the response will lack `Access-Control-Allow-Origin` and the user agent will cache that response. Then, if the user agent subsequently encounters a CORS request for the resource, it will use that cached response from the previous non-CORS request, without `Access-Control-Allow-Origin`.

同じ局面で `Vary: Origin^bl を利用した場合、 `Access-Control-Allow-Origin$h を含む応答を~UAに`~fetch$させ，~cacheされた “非~CORS応答” が利用されることはなくなる。 ◎ But if `Vary: Origin` is used in the same scenario described above, it will cause the user agent to fetch a response that includes `Access-Control-Allow-Origin`, rather than using the cached response from the previous non-CORS request that lacks `Access-Control-Allow-Origin`.

しかしながら、ある資源に対し， `Access-Control-Allow-Origin$h を［ `*^bl ／ 静的な`生成元$ ］に設定する場合、その資源~用の応答~内には，常に — 非`~CORS要請$に対しても，`~CORS要請$と同じく — `Access-Control-Allow-Origin$h を送信するよう，~serverを環境設定して、 `Vary$h は利用しないこと。 ◎ However, if `Access-Control-Allow-Origin` is set to * or a static origin for a particular resource, then configure the server to always send `Access-Control-Allow-Origin` in responses for the resource — for non-CORS requests as well as CORS requests — and do not use `Vary`.