Access-Control-Expose-Headers
La cabecera de respuesta Access-Control-Expose-Headers
indica qué cabeceras pueden ser expuestas como parte de la respuesta listando sus nombres.
Por defecto, solo se exponen las 7 cabeceras HTTP seguras (CORS-safelisted response headers (en-US), simple response headers (en-US)):
Cache-Control
- Content-Language (en-US)
Content-Length
Content-Type
Expires
- Last-Modified (en-US)
Pragma
Si quieres que los clientes puedan acceder a otra cabeceras, tienes que listarlas usando la cabecera Access-Control-Expose-Headers
Header type | Response header |
---|---|
Forbidden header name | no |
Sintaxis
Access-Control-Expose-Headers: <header-name>, <header-name>, ... Access-Control-Expose-Headers: *
Directivas
- <header-name>
- Una lista de cabeceras expuestas que consiste en cero o mas nombres de cabeceras diferentes a simple response headers (en-US) que el recurso puede usar y pueden ser expuestas.
*
(wildcard, comodín)- El valor "
*
" solo funciona como comodín para peticiones sin credenciales (peticiones sin HTTP cookies o autenticación HTTP). Para peticiones con credenciales, se trata como el literal "*
", sin semánticas especiales.
La cabeceraAuthorization
siempre se añadirá de manera explícita.
Vea cómo se añade en los ejemplos de más abajo.
Ejemplos
Para exponer una cabecera no simple, puedes especificar:
Access-Control-Expose-Headers: Content-Length
Para exponer cabeceras personalizadas, como X-Kuma-Revision
, puedes especificar varias cabeceras separadas por coma:
Access-Control-Expose-Headers: Content-Length, X-Kuma-Revision
En peticiones sin credenciales puedes utilizar el valor comodín:
Access-Control-Expose-Headers: *
Si necesitas acceder (exponer) la cabecera Authorization
, hay que añadirla de manera explícita:
Access-Control-Expose-Headers: *, Authorization
Especificaciones
Especificación | Estado | Comentario |
---|---|---|
Fetch La definición de 'Access-Control-Expose-Headers' en esta especificación. |
Living Standard |
Compatibilidad de navegadores
BCD tables only load in the browser
Notas de compatibilidad
- El valor asterisco (*) indica que no es implementado en navegadores:
- Chromium: Issue 615313
- Firefox: error 1309358
- Servo: Issue 13283