Access-Control-Expose-Headers

Baseline Widely available

This feature is well established and works across many devices and browser versions. It’s been available across browsers since July 2015.

Der HTTP Access-Control-Expose-Headers Antwort-Header ermöglicht es einem Server anzugeben, welche Antwort-Header für Skripte, die im Browser ausgeführt werden, im Rahmen einer Cross-Origin-Anfrage verfügbar gemacht werden sollen.

Standardmäßig werden nur die CORS-sicheren Antwort-Header exponiert. Damit Clients auf andere Header zugreifen können, muss der Server diese im Access-Control-Expose-Headers-Header auflisten.

Header-Typ Antwort-Header
Verbotener Anforderungs-Header Nein

Syntax

http
Access-Control-Expose-Headers: [<header-name>[, <header-name>]*]
Access-Control-Expose-Headers: *

Direktiven

<header-name>

Eine Liste von null oder mehr durch Kommata getrennten Header-Namen, auf die Clients in einer Antwort zugreifen dürfen. Diese sind zusätzlich zu den CORS-sicheren Antwort-Headern.

* (Wildcard)

Jeder beliebige Header. Der Wert * zählt nur als spezieller Wildcard-Wert für Anfragen ohne Anmeldeinformationen (Anfragen ohne HTTP-Cookies oder HTTP-Authentifizierungsinformationen). Bei Anfragen mit Anmeldeinformationen wird es als der literal Header-Name * behandelt.

Beispiele

Die CORS-sicheren Antwort-Header sind: Cache-Control, Content-Language, Content-Length, Content-Type, Expires, Last-Modified, Pragma. Um einen nicht CORS-sicheren Antwort-Header zu exponieren, kann man folgendes angeben:

http
Access-Control-Expose-Headers: Content-Encoding

Um zusätzlich einen benutzerdefinierten Header wie Kuma-Revision zu exponieren, können Sie mehrere durch Komma getrennte Header angeben:

http
Access-Control-Expose-Headers: Content-Encoding, Kuma-Revision

Für Anfragen ohne Anmeldeinformationen kann ein Server auch mit einem Wildcard-Wert antworten:

http
Access-Control-Expose-Headers: *

Ein Server kann auch für Anfragen mit Anmeldeinformationen mit dem Wert * antworten, wobei in diesem Fall auf einen Header mit dem Namen * verwiesen wird.

Spezifikationen

Specification
Fetch
# http-access-control-expose-headers

Browser-Kompatibilität

BCD tables only load in the browser

Siehe auch