Access-Control-Expose-Headers

Baseline Widely available

This feature is well established and works across many devices and browser versions. It’s been available across browsers since July 2015.

Der HTTP Access-Control-Expose-Headers Antwort-Header ermöglicht es einem Server anzugeben, welche Antwort-Header für Skripte, die im Browser laufen, als Reaktion auf eine Cross-Origin-Anfrage verfügbar gemacht werden sollen.

Standardmäßig werden nur die CORS-Whitelist-Antwort-Header freigegeben. Damit Clients auf andere Header zugreifen können, muss der Server diese mittels des Headers Access-Control-Expose-Headers auflisten.

Headertyp Antwort-Header
Verbotener Header-Name Nein

Syntax

http
Access-Control-Expose-Headers: [<header-name>[, <header-name>]*]
Access-Control-Expose-Headers: *

Direktiven

<header-name>

Eine Liste von null oder mehr durch Komma getrennten Header-Namen, auf die Clients in einer Antwort zugreifen dürfen. Diese sind zusätzlich zu den CORS-Whitelist-Antwort-Headern.

* (Wildcard)

Jeder Header. Der Wert * zählt nur als spezieller Wildcard-Wert für Anfragen ohne Anmeldedaten (Anfragen ohne HTTP-Cookies oder HTTP-Authentifizierungsinformationen). Bei Anfragen mit Anmeldedaten wird er als literaler Header-Name * behandelt.

Beispiele

Die CORS-Whitelist-Antwort-Header sind: Cache-Control, Content-Language, Content-Length, Content-Type, Expires, Last-Modified, Pragma. Um einen nicht-CORS-Whitelist-Antwort-Header freizugeben, können Sie angeben:

http
Access-Control-Expose-Headers: Content-Encoding

Um zusätzlich einen benutzerdefinierten Header, wie Kuma-Revision, freizugeben, können Sie mehrere Header durch ein Komma getrennt spezifizieren:

http
Access-Control-Expose-Headers: Content-Encoding, Kuma-Revision

Für Anfragen ohne Anmeldedaten kann ein Server auch mit einem Wildcard-Wert antworten:

http
Access-Control-Expose-Headers: *

Ein Server kann auch für Anfragen mit Anmeldedaten mit dem Wert * antworten, aber in diesem Fall würde er sich auf einen Header mit dem Namen * beziehen.

Spezifikationen

Specification
Fetch Standard
# http-access-control-expose-headers

Browser-Kompatibilität

BCD tables only load in the browser

Siehe auch