Access-Control-Expose-Headers

O cabeçalho de resposta Access-Control-Expose-Headers indica quais cabeçalhos podem ser expostos como parte da resposta listando os seus nomes.

Por padrão, somente os 6 CORS-safelisted response headers (en-US) são expostos:

• Cache-Control
• Content-Language
• Content-Type
• Expires
• Last-Modified
• Pragma

Se você quiser que clientes tenham acesso a outros cabeçalhos, você deve listá-los usando o cabeçalho Access-Control-Expose-Headers.

Access-Control-Expose-Headers: <nome-do-cabeçalho>, <nome-do-cabeçalho>, ...
Access-Control-Expose-Headers: *

<nome-do-cabeçalho>

Uma lista dos cabeçalhos expostos contendo zero ou mais nomes de cabeçalhos além dos CORS-safelisted request headers (en-US) que o recurso pode usar e expor.

* (coringa)

O valor "*" conta somente como um valor coringa para requisições sem credenciais (requisições sem cookies HTTP ou informação de autenticação HTTP). Em requisições com credenciais, ele é tratado como o nome de cabeçalho literal "*" sem qualquer semântica.
Note que o cabeçalho Authorization não pode ter valor coringa e sempre precisa ser listado explicitamente.

Para expor um cabeçalho de requisição não-CORS-seguro, você pode especificar:

Access-Control-Expose-Headers: Content-Length

Para expor um cabeçalho customizado adicionalmente, como X-Kuma-Revision, você pode adicionar múltiplos cabeçalhos separados por vírgula:

Access-Control-Expose-Headers: Content-Length, X-Kuma-Revision

Em requisições sem credênciais, você também pode usar um valor coringa:

Access-Control-Expose-Headers: *

Entretanto, isso não irá colocar um valor coringa para o cabeçalho Authorization, então caso você precise que ele seja exposto, você precisa listá-lo explicitamente:

Access-Control-Expose-Headers: *, Authorization

• Access-Control-Allow-Headers
• Access-Control-Allow-Origin