列入 CORS 白名单的响应标头

列入 CORS 白名单的响应标头（CORS-safelisted response header，也被称作“简单响应标头”）是 CORS 响应中可以安全地暴露给客户端脚本的 HTTP 标头。只有列入白名单的响应标头才会对网页开放。

默认情况下，白名单包括以下响应标头：

• Cache-Control
• Content-Language
• Content-Length
• Content-Type
• Expires
• Last-Modified
• Pragma

可以使用 Access-Control-Expose-Headers 标头将其他标头添加到白名单中。

Access-Control-Expose-Headers: X-Custom-Header, Content-Encoding