Access-Control-Expose-Headers
Baseline
Widely available
This feature is well established and works across many devices and browser versions. It’s been available across browsers since julio de 2015.
La cabecera de respuesta Access-Control-Expose-Headers indica qué cabeceras pueden ser expuestas como parte de la respuesta listando sus nombres.
Por defecto, solo se exponen las 7 cabeceras HTTP seguras (CORS-safelisted response headers, simple response headers):
Si quieres que los clientes puedan acceder a otra cabeceras, tienes que listarlas usando la cabecera Access-Control-Expose-Headers
| Header type | Response header |
|---|---|
| Forbidden header name | no |
Sintaxis
Access-Control-Expose-Headers: <header-name>, <header-name>, ... Access-Control-Expose-Headers: *
Directivas
- <header-name>
-
Una lista de cabeceras expuestas que consiste en cero o mas nombres de cabeceras diferentes a simple response headers que el recurso puede usar y pueden ser expuestas.
*(wildcard, comodín)-
El valor "
*" solo funciona como comodín para peticiones sin credenciales (peticiones sin HTTP cookies o autenticación HTTP). Para peticiones con credenciales, se trata como el literal "*", sin semánticas especiales. La cabeceraAuthorizationsiempre se añadirá de manera explícita. Vea cómo se añade en los ejemplos de más abajo.
Ejemplos
Para exponer una cabecera no simple, puedes especificar:
Access-Control-Expose-Headers: Content-Length
Para exponer cabeceras personalizadas, como X-Kuma-Revision, puedes especificar varias cabeceras separadas por coma:
Access-Control-Expose-Headers: Content-Length, X-Kuma-Revision
En peticiones sin credenciales puedes utilizar el valor comodín:
Access-Control-Expose-Headers: *
Si necesitas acceder (exponer) la cabecera Authorization, hay que añadirla de manera explícita:
Access-Control-Expose-Headers: *, Authorization
Especificaciones
| Specification |
|---|
| Fetch # http-access-control-expose-headers |
Compatibilidad con navegadores
Loading…