Access-Control-Expose-Headers

La cabecera de respuesta Access-Control-Expose-Headers indica qué cabeceras pueden ser expuestas como parte de la respuesta listando sus nombres.

Por defecto, solo se exponen las 7 cabeceras HTTP seguras (CORS-safelisted response headers (en-US), simple response headers (en-US)):

• Cache-Control
• Content-Language (en-US)
• Content-Length
• Content-Type
• Expires
• Last-Modified (en-US)
• Pragma

Si quieres que los clientes puedan acceder a otra cabeceras, tienes que listarlas usando la cabecera Access-Control-Expose-Headers

Access-Control-Expose-Headers: <header-name>, <header-name>, ...
Access-Control-Expose-Headers: *

<header-name>

Una lista de cabeceras expuestas que consiste en cero o mas nombres de cabeceras diferentes a simple response headers (en-US) que el recurso puede usar y pueden ser expuestas.

* (wildcard, comodín)

El valor "*" solo funciona como comodín para peticiones sin credenciales (peticiones sin HTTP cookies o autenticación HTTP). Para peticiones con credenciales, se trata como el literal "*", sin semánticas especiales.
La cabecera Authorization siempre se añadirá de manera explícita.
Vea cómo se añade en los ejemplos de más abajo.

Para exponer una cabecera no simple, puedes especificar:

Access-Control-Expose-Headers: Content-Length

Para exponer cabeceras personalizadas, como X-Kuma-Revision, puedes especificar varias cabeceras separadas por coma:

Access-Control-Expose-Headers: Content-Length, X-Kuma-Revision

En peticiones sin credenciales puedes utilizar el valor comodín:

Access-Control-Expose-Headers: *

Si necesitas acceder (exponer) la cabecera Authorization, hay que añadirla de manera explícita:

Access-Control-Expose-Headers: *, Authorization

• El valor asterisco (*) indica que no es implementado en navegadores:
  • Chromium: Issue 615313
  • Firefox: error 1309358
  • Servo: Issue 13283

• Access-Control-Allow-Headers
• Access-Control-Allow-Origin