Access-Control-Expose-Headers 頭
HTTP Access-Control-Expose-Headers 響應頭允許伺服器指示哪些響應頭應該對瀏覽器中執行的指令碼在響應跨域請求時可用。
預設情況下,只有CORS 安全響應頭會被暴露。為了讓客戶端能夠訪問其他頭,伺服器必須使用 Access-Control-Expose-Headers 頭來列出它們。
語法
http
Access-Control-Expose-Headers: [<header-name>[, <header-name>]*]
Access-Control-Expose-Headers: *
指令
<header-name>-
一個包含零個或多個逗號分隔的頭名稱的列表,客戶端被允許從響應中訪問這些頭。這些頭是CORS 安全響應頭的補充。
*(萬用字元)-
任何頭。值
*僅對於沒有憑據的請求(沒有 HTTP cookie 或 HTTP 認證資訊的請求)才算作特殊的萬用字元值。在有憑據的請求中,它被視為字面上的頭名稱*。
示例
CORS 安全響應頭包括:Cache-Control、Content-Language、Content-Length、Content-Type、Expires、Last-Modified、Pragma。要暴露一個非 CORS 安全響應頭,你可以指定
http
Access-Control-Expose-Headers: Content-Encoding
要額外暴露一個自定義頭,例如 Kuma-Revision,你可以指定多個頭,用逗號分隔
http
Access-Control-Expose-Headers: Content-Encoding, Kuma-Revision
對於沒有憑據的請求,伺服器也可以用萬用字元值響應
http
Access-Control-Expose-Headers: *
伺服器也可以用 * 值響應有憑據的請求,但在這種情況下,它指的是名為 * 的頭。
規範
| 規範 |
|---|
| Fetch # http-access-control-expose-headers |
瀏覽器相容性
載入中…