Access-Control-Expose-Headers
La cabecera de respuesta Access-Control-Expose-Headers indica qué cabeceras pueden ser expuestas como parte de la respuesta listando sus nombres.
Por defecto, solo se exponen las 7 cabeceras HTTP seguras (CORS-safelisted response headers, simple response headers):
Si quieres que los clientes puedan acceder a otra cabeceras, tienes que listarlas usando la cabecera Access-Control-Expose-Headers
| Header type | Response header |
|---|---|
| Forbidden header name | no |
Sintaxis
Access-Control-Expose-Headers: <header-name>, <header-name>, ... Access-Control-Expose-Headers: *
Directivas
- <header-name>
-
Una lista de cabeceras expuestas que consiste en cero o mas nombres de cabeceras diferentes a simple response headers que el recurso puede usar y pueden ser expuestas.
*(wildcard, comodín)-
El valor "
*" solo funciona como comodín para peticiones sin credenciales (peticiones sin HTTP cookies o autenticación HTTP). Para peticiones con credenciales, se trata como el literal "*", sin semánticas especiales. La cabeceraAuthorizationsiempre se añadirá de manera explícita. Vea cómo se añade en los ejemplos de más abajo.
Ejemplos
Para exponer una cabecera no simple, puedes especificar:
Access-Control-Expose-Headers: Content-Length
Para exponer cabeceras personalizadas, como X-Kuma-Revision, puedes especificar varias cabeceras separadas por coma:
Access-Control-Expose-Headers: Content-Length, X-Kuma-Revision
En peticiones sin credenciales puedes utilizar el valor comodín:
Access-Control-Expose-Headers: *
Si necesitas acceder (exponer) la cabecera Authorization, hay que añadirla de manera explícita:
Access-Control-Expose-Headers: *, Authorization
Especificaciones
| Specification |
|---|
| Fetch Standard # http-access-control-expose-headers |
Compatibilidad con navegadores
BCD tables only load in the browser