Перейти к содержимому
Логотип htmx Логотип htmx htmx по-русски
Поставьте ⭐️ проекту перевода GitHub

Атрибут hx-headers

Атрибут hx-headers позволяет добавлять заголовки к AJAX-запросам.

По умолчанию значение атрибута задаётся в формате JSON (JavaScript Object Notation) как список пар «имя-значение».

Если требуется вычислять значения, можно добавить префикс javascript: или js:.

<!-- Статические заголовки -->
<div hx-get="/example" hx-headers='{"myHeader": "Мое значение"}'>
  Получить HTML с пользовательским заголовком в запросе
</div>


<!-- Динамические заголовки (JS) -->
<div hx-get="/example" hx-headers='js:{myVal: calculateValue()}'>
  Получить HTML с динамическим заголовком (вычисляемым через JavaScript)
</div>

Вопросы безопасности

Заголовок раздела «Вопросы безопасности»

  • По умолчанию значение hx-headers должно быть валидным JSON и не вычисляется динамически. При использовании префикса javascript: учитывайте риски безопасности, особенно при работе с пользовательским вводом (параметры запросов, пользовательский контент), что может привести к уязвимости Межсайтового скриптинга (XSS).

  • Хотя это не является полноценной защитой от Межсайтовой подделки запросов (CSRF), атрибут hx-headers может использоваться для реализации защиты от CSRF. Подробнее см. раздел Предотвращение CSRF.

Примечания

Заголовок раздела «Примечания»
  • hx-headers наследуется и может быть указан на родительском элементе.
  • Заголовки, объявленные в дочерних элементах, переопределяют родительские.