Access-Control-Expose-Headers

Baseline Widely available

This feature is well established and works across many devices and browser versions. It’s been available across browsers since July 2015.

Access-Control-Expose-Headers 헤더를 통해 서버는 교차-출처 요청 (cross-origin request)에 대한 응답으로 브라우저에서 실행 중인 스크립트가 사용할 수 있는 응답 헤더를 지정할 수 있습니다.

기본적으로 CORS 안전 목록 응답 헤더만 노출됩니다. 클라이언트가 다른 헤더에 접근할 수 있도록 하려면 서버는 Access-Control-Expose-Headers 헤더를 사용하여 헤더를 나열해야 합니다.

헤더 타입 응답 헤더
금지된 헤더 이름 no

문법

http
Access-Control-Expose-Headers: [<header-name>[, <header-name>]*]
Access-Control-Expose-Headers: *

지침

<header-name>

클라이언트가 응답에서 접근할 수 있는 헤더 이름 목록이며, 0개 이상의 콤마로 구분됩니다. CORS 안전 목록 응답 헤더에 추가 됩니다.

* (와일드카드)

*는 자격 증명이 없는 요청 (HTTP 쿠키나 HTTP 인증 정보가 없는 요청)에 대한 특별한 와일드카드 값으로 취급됩니다. 자격 증명이 있는 요청에서는 특별한 의미 없이 문자 그대로 헤더 이름 *로 취급됩니다.

예제

CORS 안전 목록 응답 헤더는 다음과 같습니다. Cache-Control, Content-Language, Content-Length, Content-Type, Expires, Last-Modified, Pragma.

CORS 안전 목록 응답 헤더에 없는 응답 헤더를 노출하려면 다음과 같이 지정할 수 있습니다.

http
Access-Control-Expose-Headers: Content-Encoding

Kuma-Revision과 같은 사용자 지정 헤더를 추가로 표시하려면 여러 헤더를 콤마로 구분하여 지정할 수 있습니다.

http
Access-Control-Expose-Headers: Content-Encoding, Kuma-Revision

자격 증명이 없는 요청의 경우 서버는 와일드카드 값을 사용하여 응답하기도 합니다.

http
Access-Control-Expose-Headers: *

하지만, Authorization 헤더는 와일드카드로 지정할 수 없기 때문에 명시적으로 지정해야 합니다.

http
Access-Control-Expose-Headers: *, Authorization

명세

Specification
Fetch
# http-access-control-expose-headers

브라우저 호환성

Report problems with this compatibility data on GitHub
desktopmobile
Chrome
Edge
Firefox
Opera
Safari
Chrome Android
Firefox for Android
Opera Android
Safari on iOS
Samsung Internet
WebView Android
WebView on iOS
Access-Control-Expose-Headers
Wildcard (*)

Legend

Tip: you can click/tap on a cell for more information.

Full support
Full support

같이 보기