Access-Control-Expose-Headers header
Baseline Widely available
This feature is well established and works across many devices and browser versions. It’s been available across browsers since July 2015.
Der HTTP Access-Control-Expose-Headers Antwort-Header ermöglicht einem Server anzugeben, welche Antwort-Header für Skripte, die im Browser als Antwort auf eine Cross-Origin-Anfrage ausgeführt werden, verfügbar gemacht werden sollen.
Standardmäßig werden nur die CORS-safelisted Antwort-Header freigegeben. Damit Clients auf andere Header zugreifen können, muss der Server sie mithilfe des Access-Control-Expose-Headers Headers auflisten.
| Header-Typ | Antwort-Header |
|---|---|
| Verbotener Anfrage-Header | Nein |
Syntax
Access-Control-Expose-Headers: [<header-name>[, <header-name>]*]
Access-Control-Expose-Headers: *
Direktiven
<header-name>-
Eine Liste von null oder mehr durch Kommas getrennten Headernamen, auf die Clients in einer Antwort zugreifen dürfen. Diese sind zusätzlich zu den CORS-safelisted Antwort-Headern.
*(Wildcard)-
Beliebiger Header. Der Wert
*zählt nur als spezieller Wildcard-Wert für Anfragen ohne Anmeldeinformationen (Anfragen ohne HTTP-Cookies oder HTTP-Authentifizierungsinformationen). Bei Anfragen mit Anmeldeinformationen wird es als der wörtliche Headername*behandelt.
Beispiele
Die CORS-safelisted Antwort-Header sind: Cache-Control, Content-Language, Content-Length, Content-Type, Expires, Last-Modified, Pragma. Um einen nicht-CORS-safelisted Antwort-Header freizugeben, können Sie angeben:
Access-Control-Expose-Headers: Content-Encoding
Um zusätzlich einen benutzerdefinierten Header freizugeben, wie zum Beispiel Kuma-Revision, können Sie mehrere Header durch ein Komma getrennt angeben:
Access-Control-Expose-Headers: Content-Encoding, Kuma-Revision
Für Anfragen ohne Anmeldeinformationen kann ein Server auch mit einem Wildcard-Wert antworten:
Access-Control-Expose-Headers: *
Ein Server kann auch mit dem Wert * für Anfragen mit Anmeldeinformationen antworten, in diesem Fall würde es sich jedoch auf einen Header namens * beziehen.
Spezifikationen
| Specification |
|---|
| Fetch # http-access-control-expose-headers |