Access-Control-Expose-Headers

La cabecera de respuesta Access-Control-Expose-Headers indica qué cabeceras pueden ser expuestas como parte de la respuesta listando sus nombres.

Por defecto, solo se exponen las 7 cabeceras HTTP seguras (CORS-safelisted response headers, simple response headers):

Si quieres que los clientes puedan acceder a otra cabeceras, tienes que listarlas usando la cabecera Access-Control-Expose-Headers

Header type Response header
Forbidden header name no

Sintaxis

Access-Control-Expose-Headers: <header-name>, <header-name>, ...
Access-Control-Expose-Headers: *

Directivas

<header-name>

Una lista de cabeceras expuestas que consiste en cero o mas nombres de cabeceras diferentes a simple response headers que el recurso puede usar y pueden ser expuestas.

* (wildcard, comodín)

El valor "*" solo funciona como comodín para peticiones sin credenciales (peticiones sin HTTP cookies o autenticación HTTP). Para peticiones con credenciales, se trata como el literal "*", sin semánticas especiales. La cabecera Authorization siempre se añadirá de manera explícita. Vea cómo se añade en los ejemplos de más abajo.

Ejemplos

Para exponer una cabecera no simple, puedes especificar:

Access-Control-Expose-Headers: Content-Length

Para exponer cabeceras personalizadas, como X-Kuma-Revision, puedes especificar varias cabeceras separadas por coma:

Access-Control-Expose-Headers: Content-Length, X-Kuma-Revision

En peticiones sin credenciales puedes utilizar el valor comodín:

Access-Control-Expose-Headers: *

Si necesitas acceder (exponer) la cabecera Authorization, hay que añadirla de manera explícita:

Access-Control-Expose-Headers: *, Authorization

Especificaciones

Specification
Fetch Standard
# http-access-control-expose-headers

Compatibilidad con navegadores

BCD tables only load in the browser

Ver también