Access-Control-Expose-Headers
Der HTTP Access-Control-Expose-Headers Antwort-Header ermöglicht es einem Server anzugeben, welche Antwort-Header für Skripte, die im Browser laufen, als Reaktion auf eine Cross-Origin-Anfrage verfügbar gemacht werden sollen.
Standardmäßig werden nur die CORS-Whitelist-Antwort-Header freigegeben. Damit Clients auf andere Header zugreifen können, muss der Server diese mittels des Headers Access-Control-Expose-Headers auflisten.
| Headertyp | Antwort-Header |
|---|---|
| Verbotener Header-Name | Nein |
Syntax
Access-Control-Expose-Headers: [<header-name>[, <header-name>]*]
Access-Control-Expose-Headers: *
Direktiven
<header-name>-
Eine Liste von null oder mehr durch Komma getrennten Header-Namen, auf die Clients in einer Antwort zugreifen dürfen. Diese sind zusätzlich zu den CORS-Whitelist-Antwort-Headern.
*(Wildcard)-
Jeder Header. Der Wert
*zählt nur als spezieller Wildcard-Wert für Anfragen ohne Anmeldedaten (Anfragen ohne HTTP-Cookies oder HTTP-Authentifizierungsinformationen). Bei Anfragen mit Anmeldedaten wird er als literaler Header-Name*behandelt.
Beispiele
Die CORS-Whitelist-Antwort-Header sind: Cache-Control, Content-Language, Content-Length, Content-Type, Expires, Last-Modified, Pragma. Um einen nicht-CORS-Whitelist-Antwort-Header freizugeben, können Sie angeben:
Access-Control-Expose-Headers: Content-Encoding
Um zusätzlich einen benutzerdefinierten Header, wie Kuma-Revision, freizugeben, können Sie mehrere Header durch ein Komma getrennt spezifizieren:
Access-Control-Expose-Headers: Content-Encoding, Kuma-Revision
Für Anfragen ohne Anmeldedaten kann ein Server auch mit einem Wildcard-Wert antworten:
Access-Control-Expose-Headers: *
Ein Server kann auch für Anfragen mit Anmeldedaten mit dem Wert * antworten, aber in diesem Fall würde er sich auf einen Header mit dem Namen * beziehen.
Spezifikationen
| Specification |
|---|
| Fetch Standard # http-access-control-expose-headers |
Browser-Kompatibilität
BCD tables only load in the browser