Access-Control-Expose-Headers

Baseline Widely available

This feature is well established and works across many devices and browser versions. It’s been available across browsers since July 2015.

Der HTTP Access-Control-Expose-Headers Antwort-Header ermöglicht es einem Server anzugeben, welche Antwort-Header für Skripte, die im Browser laufen, als Reaktion auf eine Cross-Origin-Anfrage verfügbar gemacht werden sollen.

Standardmäßig werden nur die CORS-Whitelist-Antwort-Header freigegeben. Damit Clients auf andere Header zugreifen können, muss der Server diese mittels des Headers Access-Control-Expose-Headers auflisten.

Headertyp Antwort-Header
Verbotener Header-Name Nein

Syntax

http
Access-Control-Expose-Headers: [<header-name>[, <header-name>]*]
Access-Control-Expose-Headers: *

Direktiven

<header-name>

Eine Liste von null oder mehr durch Komma getrennten Header-Namen, auf die Clients in einer Antwort zugreifen dürfen. Diese sind zusätzlich zu den CORS-Whitelist-Antwort-Headern.

* (Wildcard)

Jeder Header. Der Wert * zählt nur als spezieller Wildcard-Wert für Anfragen ohne Anmeldedaten (Anfragen ohne HTTP-Cookies oder HTTP-Authentifizierungsinformationen). Bei Anfragen mit Anmeldedaten wird er als literaler Header-Name * behandelt.

Beispiele

Die CORS-Whitelist-Antwort-Header sind: Cache-Control, Content-Language, Content-Length, Content-Type, Expires, Last-Modified, Pragma. Um einen nicht-CORS-Whitelist-Antwort-Header freizugeben, können Sie angeben:

http
Access-Control-Expose-Headers: Content-Encoding

Um zusätzlich einen benutzerdefinierten Header, wie Kuma-Revision, freizugeben, können Sie mehrere Header durch ein Komma getrennt spezifizieren:

http
Access-Control-Expose-Headers: Content-Encoding, Kuma-Revision

Für Anfragen ohne Anmeldedaten kann ein Server auch mit einem Wildcard-Wert antworten:

http
Access-Control-Expose-Headers: *

Ein Server kann auch für Anfragen mit Anmeldedaten mit dem Wert * antworten, aber in diesem Fall würde er sich auf einen Header mit dem Namen * beziehen.

Spezifikationen

Specification
Fetch
# http-access-control-expose-headers

Browser-Kompatibilität

Report problems with this compatibility data on GitHub
desktopmobile
Chrome
Edge
Firefox
Opera
Safari
Chrome Android
Firefox for Android
Opera Android
Safari on iOS
Samsung Internet
WebView Android
WebView on iOS
Access-Control-Expose-Headers
Wildcard (*)

Legend

Tip: you can click/tap on a cell for more information.

Full support
Full support

Siehe auch