O cabeçalho de resposta Access-Control-Expose-Headers indica quais cabeçalhos podem ser expostos como parte da resposta listando os seus nomes.
Por padrão, somente os 6 CORS-safelisted response headers são expostos:
Se você quiser que clientes tenham acesso a outros cabeçalhos, você deve listá-los usando o cabeçalho Access-Control-Expose-Headers.
| Tipo de cabeçalho | Response header |
|---|---|
| Forbidden header name | não |
Sintaxe
Access-Control-Expose-Headers: <nome-do-cabeçalho>, <nome-do-cabeçalho>, ... Access-Control-Expose-Headers: *
Diretivas
- <nome-do-cabeçalho>
- Uma lista dos cabeçalhos expostos contendo zero ou mais nomes de cabeçalhos além dos CORS-safelisted request headers que o recurso pode usar e expor.
*(coringa)- O valor "
*" conta somente como um valor coringa para requisições sem credenciais (requisições sem cookies HTTP ou informação de autenticação HTTP). Em requisições com credenciais, ele é tratado como o nome de cabeçalho literal "*" sem qualquer semântica.
Note que o cabeçalhoAuthorizationnão pode ter valor coringa e sempre precisa ser listado explicitamente.
Exemplos
Para expor um cabeçalho de requisição não-CORS-seguro, você pode especificar:
Access-Control-Expose-Headers: Content-Length
Para expor um cabeçalho customizado adicionalmente, como X-Kuma-Revision, você pode adicionar múltiplos cabeçalhos separados por vírgula:
Access-Control-Expose-Headers: Content-Length, X-Kuma-Revision
Em requisições sem credênciais, você também pode usar um valor coringa:
Access-Control-Expose-Headers: *
Entretanto, isso não irá colocar um valor coringa para o cabeçalho Authorization, então caso você precise que ele seja exposto, você precisa listá-lo explicitamente:
Access-Control-Expose-Headers: *, Authorization
Especificações
| Especificação | Status | Comentário |
|---|---|---|
| Fetch The definition of 'Access-Control-Expose-Headers' in that specification. |
Padrão em tempo real |
Compatibilidade de navegador
The compatibility table in this page is generated from structured data. If you'd like to contribute to the data, please check out https://github.com/mdn/browser-compat-data and send us a pull request.
| Desktop | Mobile | |||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|
Access-Control-Expose-Headers | Chrome Full support 4 | Edge Full support 12 | Firefox Full support 3.5 | IE Full support 10 | Opera Full support 12 | Safari Full support 4 | WebView Android Full support 2 | Chrome Android Full support Yes | Firefox Android Full support 4 | Opera Android Full support 12 | Safari iOS Full support 3.2 | Samsung Internet Android Full support Yes |
Wildcard (*) | Chrome Full support 65 | Edge Full support 79 | Firefox Full support 69 | IE No support No | Opera Full support 52 | Safari No support No | WebView Android Full support 65 | Chrome Android Full support 65 | Firefox Android No support No | Opera Android Full support 47 | Safari iOS No support No | Samsung Internet Android Full support 9.0 |
Legend
- Full support
- Full support
- No support
- No support