Access-Control-Expose-Headers
Baseline Widely available
This feature is well established and works across many devices and browser versions. It’s been available across browsers since July 2015.
Der HTTP Access-Control-Expose-Headers
Antwort-Header ermöglicht es einem Server anzugeben, welche Antwort-Header für Skripte, die im Browser laufen, als Reaktion auf eine Cross-Origin-Anfrage verfügbar gemacht werden sollen.
Standardmäßig werden nur die CORS-Whitelist-Antwort-Header freigegeben. Damit Clients auf andere Header zugreifen können, muss der Server diese mittels des Headers Access-Control-Expose-Headers
auflisten.
Headertyp | Antwort-Header |
---|---|
Verbotener Header-Name | Nein |
Syntax
Access-Control-Expose-Headers: [<header-name>[, <header-name>]*]
Access-Control-Expose-Headers: *
Direktiven
<header-name>
-
Eine Liste von null oder mehr durch Komma getrennten Header-Namen, auf die Clients in einer Antwort zugreifen dürfen. Diese sind zusätzlich zu den CORS-Whitelist-Antwort-Headern.
*
(Wildcard)-
Jeder Header. Der Wert
*
zählt nur als spezieller Wildcard-Wert für Anfragen ohne Anmeldedaten (Anfragen ohne HTTP-Cookies oder HTTP-Authentifizierungsinformationen). Bei Anfragen mit Anmeldedaten wird er als literaler Header-Name*
behandelt.
Beispiele
Die CORS-Whitelist-Antwort-Header sind: Cache-Control
, Content-Language
, Content-Length
, Content-Type
, Expires
, Last-Modified
, Pragma
. Um einen nicht-CORS-Whitelist-Antwort-Header freizugeben, können Sie angeben:
Access-Control-Expose-Headers: Content-Encoding
Um zusätzlich einen benutzerdefinierten Header, wie Kuma-Revision
, freizugeben, können Sie mehrere Header durch ein Komma getrennt spezifizieren:
Access-Control-Expose-Headers: Content-Encoding, Kuma-Revision
Für Anfragen ohne Anmeldedaten kann ein Server auch mit einem Wildcard-Wert antworten:
Access-Control-Expose-Headers: *
Ein Server kann auch für Anfragen mit Anmeldedaten mit dem Wert *
antworten, aber in diesem Fall würde er sich auf einen Header mit dem Namen *
beziehen.
Spezifikationen
Specification |
---|
Fetch Standard # http-access-control-expose-headers |
Browser-Kompatibilität
BCD tables only load in the browser