Access-Control-Expose-Headers

O cabeçalho de resposta Access-Control-Expose-Headers indica quais cabeçalhos podem ser expostos como parte da resposta listando os seus nomes.

Por padrão, somente os 6 CORS-safelisted response headers são expostos:

Se você quiser que clientes tenham acesso a outros cabeçalhos, você deve listá-los usando o cabeçalho Access-Control-Expose-Headers.

Tipo de cabeçalho Response header
Forbidden header name não

Sintaxe

Access-Control-Expose-Headers: <nome-do-cabeçalho>, <nome-do-cabeçalho>, ...
Access-Control-Expose-Headers: *

Diretivas

<nome-do-cabeçalho>
Uma lista dos cabeçalhos expostos contendo zero ou mais nomes de cabeçalhos além dos CORS-safelisted request headers que o recurso pode usar e expor.
* (coringa)
O valor "*" conta somente como um valor coringa para requisições sem credenciais (requisições sem cookies HTTP ou informação de autenticação HTTP). Em requisições com credenciais, ele é tratado como o nome de cabeçalho literal "*" sem qualquer semântica.
Note que o cabeçalho Authorization não pode ter valor coringa e sempre precisa ser listado explicitamente.

Exemplos

Para expor um cabeçalho de requisição não-CORS-seguro, você pode especificar:

Access-Control-Expose-Headers: Content-Length

Para expor um cabeçalho customizado adicionalmente, como X-Kuma-Revision, você pode adicionar múltiplos cabeçalhos separados por vírgula:

Access-Control-Expose-Headers: Content-Length, X-Kuma-Revision

Em requisições sem credênciais, você também pode usar um valor coringa:

Access-Control-Expose-Headers: *

Entretanto, isso não irá colocar um valor coringa para o cabeçalho Authorization, então caso você precise que ele seja exposto, você precisa listá-lo explicitamente:

Access-Control-Expose-Headers: *, Authorization

Especificações

Especificação Status Comentário
Fetch
The definition of 'Access-Control-Expose-Headers' in that specification.
Padrão em tempo real

Compatibilidade de navegador

Update compatibility data on GitHub
DesktopMobile
ChromeEdgeFirefoxInternet ExplorerOperaSafariAndroid webviewChrome for AndroidFirefox for AndroidOpera for AndroidSafari on iOSSamsung Internet
Access-Control-Expose-HeadersChrome Full support 4Edge Full support 12Firefox Full support 3.5IE Full support 10Opera Full support 12Safari Full support 4WebView Android Full support 2Chrome Android Full support YesFirefox Android Full support 4Opera Android Full support 12Safari iOS Full support 3.2Samsung Internet Android Full support Yes
Wildcard (*)Chrome Full support 65Edge No support NoFirefox Full support 69IE No support NoOpera Full support 52Safari No support NoWebView Android Full support 65Chrome Android Full support 65Firefox Android No support NoOpera Android Full support 47Safari iOS No support NoSamsung Internet Android Full support 9.0

Legend

Full support  
Full support
No support  
No support

Veja também