Access-Control-Expose-Headers
O cabeçalho de resposta Access-Control-Expose-Headers indica quais cabeçalhos podem ser expostos como parte da resposta listando os seus nomes.
Por padrão, somente os 6 CORS-safelisted response headers são expostos:
Se você quiser que clientes tenham acesso a outros cabeçalhos, você deve listá-los usando o cabeçalho Access-Control-Expose-Headers.
| Tipo de cabeçalho | Response header |
|---|---|
| Forbidden header name | não |
Sintaxe
Access-Control-Expose-Headers: <nome-do-cabeçalho>, <nome-do-cabeçalho>, ... Access-Control-Expose-Headers: *
Diretivas
- <nome-do-cabeçalho>
-
Uma lista dos cabeçalhos expostos contendo zero ou mais nomes de cabeçalhos além dos CORS-safelisted request headers que o recurso pode usar e expor.
*(coringa)-
O valor "
*" conta somente como um valor coringa para requisições sem credenciais (requisições sem cookies HTTP ou informação de autenticação HTTP). Em requisições com credenciais, ele é tratado como o nome de cabeçalho literal "*" sem qualquer semântica. Note que o cabeçalhoAuthorizationnão pode ter valor coringa e sempre precisa ser listado explicitamente.
Exemplos
Para expor um cabeçalho de requisição não-CORS-seguro, você pode especificar:
Access-Control-Expose-Headers: Content-Length
Para expor um cabeçalho customizado adicionalmente, como X-Kuma-Revision, você pode adicionar múltiplos cabeçalhos separados por vírgula:
Access-Control-Expose-Headers: Content-Length, X-Kuma-Revision
Em requisições sem credênciais, você também pode usar um valor coringa:
Access-Control-Expose-Headers: *
Entretanto, isso não irá colocar um valor coringa para o cabeçalho Authorization, então caso você precise que ele seja exposto, você precisa listá-lo explicitamente:
Access-Control-Expose-Headers: *, Authorization
Especificações
| Specification |
|---|
| Fetch Standard # http-access-control-expose-headers |
Compatibilidade com navegadores
BCD tables only load in the browser