Blog

W3C traceparent ve CORS: tarayıcılar dağıtım iz kimliklerini açığa çıkarmalı mı?

traceparent öncelikle sunucu atları içindir; JavaScript’e açılması yanlış kullanımda iç topolojiyi sızdırabilir.

Yayın: 2026-03-02Güncelleme: 2026-03-051 dk okuma

tracingw3ccorsobservability

Expose-Headers allowlist

Tarayıcılar CORS açılmadıkça fetch’e tam başlık listesini vermez; iz yükünü istemciye yansıtmayın.

İstek kimliği dönmek zorsa sunucuda izlere eşlenen kısa opak token kullanın.

GDPR benzeri rejimler kalıcı kimlikleri hesaba bağlandığında kişisel veri sayabilir; saklamayı belgeleyin.

Başlık okuyan üçüncü taraf RUM betikleri bazı hukuklarda açık rıza ister.