Access-Control-Expose-Headers

Access-Control-Expose-Headers 响应头允许服务器指示哪些响应头应该在响应跨源请求时提供给在浏览器中运行的脚本。

默认情况下,只有 CORS 安全列表中的响应头 会被公开。为了让客户端能够访问其他头,服务器必须使用 Access-Control-Expose-Headers 头列出它们。

头类型 响应头
禁止的头名称

语法

http
Access-Control-Expose-Headers: [<header-name>[, <header-name>]*]
Access-Control-Expose-Headers: *

指令

<header-name>

客户端允许从响应中访问的零个或多个以逗号分隔的 头名称 列表。这些是除了 CORS 安全列表中的响应头 之外的。

*(通配符)

值“*”仅在没有凭据(没有 HTTP Cookie 或 HTTP 身份验证信息)的请求中被视为特殊的通配符值。在有凭据的请求中,它被视为文字头名称“*”。

示例

CORS 安全列表中的响应头 包括:Cache-ControlContent-LanguageContent-LengthContent-TypeExpiresLast-ModifiedPragma。要公开非 CORS 安全列表中的响应头,您可以指定

http
Access-Control-Expose-Headers: Content-Encoding

要额外公开自定义头,例如 Kuma-Revision,您可以用逗号分隔多个头

http
Access-Control-Expose-Headers: Content-Encoding, Kuma-Revision

对于没有凭据的请求,服务器也可以使用通配符值进行响应

http
Access-Control-Expose-Headers: *

服务器也可以对有凭据的请求使用 * 值进行响应,但在这种情况下,它将指的是名为 * 的头。

规范

规范
获取标准
# http-access-control-expose-headers

浏览器兼容性

BCD 表格仅在启用 JavaScript 的浏览器中加载。

另请参阅