Access-Control-Expose-Headers

Access-Control-Expose-Headers レスポンスヘッダーは、レスポンスの一部としてどのヘッダーを公開するかを、その名前を列挙して示します。

既定では、公開される CORS セーフリストレスポンスヘッダーは6つだけです。

クライアントが他のヘッダーにアクセスできるようにするには、 Access-Control-Expose-Headers ヘッダーを使用してヘッダーを列挙する必要があります。

ヘッダー種別 レスポンスヘッダー
禁止ヘッダー名 いいえ

構文

Access-Control-Expose-Headers: <header-name>, <header-name>, ...
Access-Control-Expose-Headers: *

ディレクティブ

<header-name>
ゼロ個以上のヘッダー名の一覧で、 CORS セーフリストレスポンスヘッダーに含まれないものであり、リソースが使用する可能性があり、公開される可能性があるものです。
* (ワイルドカード)
"*" の値は、資格情報のないリクエスト (HTTP Cookie や HTTP の認証情報のないリクエスト) の特殊なワイルドカードです。認証情報付きのリクエストでは、特別な意味のない "*" というヘッダー名として扱われます。
なお、 Authorization ヘッダーはワイルドカードで表すことができず、常に明示的に列挙する必要があります。

CORS セーフリストにないレスポンスヘッダーを公開するには、次のように指定します。

Access-Control-Expose-Headers: Content-Length

X-Kuma-Revision のようなカスタムヘッダーをさらに公開するには、複数のヘッダーをコンマで区切って指定することができます。

Access-Control-Expose-Headers: Content-Length, X-Kuma-Revision

資格情報のないリクエストでは、ワイルドカード値を使うこともできます。

Access-Control-Expose-Headers: *

但し、 Authorization ヘッダーはワイルドカードの対象にならないので、明示的に列挙する必要があります。

Access-Control-Expose-Headers: *, Authorization

仕様書

仕様書 状態 備考
Fetch
Access-Control-Expose-Headers の定義
現行の標準

ブラウザーの互換性

Update compatibility data on GitHub
デスクトップモバイル
ChromeEdgeFirefoxInternet ExplorerOperaSafariAndroid webviewAndroid 版 ChromeAndroid 版 FirefoxAndroid 版 OperaiOSのSafariSamsung Internet
Access-Control-Expose-HeadersChrome 完全対応 4Edge 完全対応 12Firefox 完全対応 3.5IE 完全対応 10Opera 完全対応 12Safari 完全対応 4WebView Android 完全対応 2Chrome Android 完全対応 ありFirefox Android 完全対応 4Opera Android 完全対応 12Safari iOS 完全対応 3.2Samsung Internet Android 完全対応 あり
Wildcard (*)Chrome 完全対応 65Edge 未対応 なしFirefox 完全対応 69IE 未対応 なしOpera 完全対応 52Safari 未対応 なしWebView Android 完全対応 65Chrome Android 完全対応 65Firefox Android 未対応 なしOpera Android 完全対応 47Safari iOS 未対応 なしSamsung Internet Android 完全対応 9.0

凡例

完全対応  
完全対応
未対応  
未対応

関連情報