Access-Control-Expose-Headers
Baseline Widely available
This feature is well established and works across many devices and browser versions. It’s been available across browsers since July 2015.
La cabecera de respuesta Access-Control-Expose-Headers
indica qué cabeceras pueden ser expuestas como parte de la respuesta listando sus nombres.
Por defecto, solo se exponen las 7 cabeceras HTTP seguras (CORS-safelisted response headers, simple response headers):
Si quieres que los clientes puedan acceder a otra cabeceras, tienes que listarlas usando la cabecera Access-Control-Expose-Headers
Header type | Response header |
---|---|
Forbidden header name | no |
Sintaxis
Access-Control-Expose-Headers: <header-name>, <header-name>, ... Access-Control-Expose-Headers: *
Directivas
- <header-name>
-
Una lista de cabeceras expuestas que consiste en cero o mas nombres de cabeceras diferentes a simple response headers que el recurso puede usar y pueden ser expuestas.
*
(wildcard, comodín)-
El valor "
*
" solo funciona como comodín para peticiones sin credenciales (peticiones sin HTTP cookies o autenticación HTTP). Para peticiones con credenciales, se trata como el literal "*
", sin semánticas especiales. La cabeceraAuthorization
siempre se añadirá de manera explícita. Vea cómo se añade en los ejemplos de más abajo.
Ejemplos
Para exponer una cabecera no simple, puedes especificar:
Access-Control-Expose-Headers: Content-Length
Para exponer cabeceras personalizadas, como X-Kuma-Revision
, puedes especificar varias cabeceras separadas por coma:
Access-Control-Expose-Headers: Content-Length, X-Kuma-Revision
En peticiones sin credenciales puedes utilizar el valor comodín:
Access-Control-Expose-Headers: *
Si necesitas acceder (exponer) la cabecera Authorization
, hay que añadirla de manera explícita:
Access-Control-Expose-Headers: *, Authorization
Especificaciones
Specification |
---|
Fetch Standard # http-access-control-expose-headers |
Compatibilidad con navegadores
BCD tables only load in the browser