En-tête de réponse sûr pour le CORS

Un en-tête de réponse sûr pour le CORS est un en-tête HTTP d'une réponse CORS dont on considère qu'il est sûr et peut être exposé aux scripts côté client. Seuls les en-têtes de réponse sûrs sont disponibles pour les pages web.

Par défaut, la liste des en-têtes de réponse sûrs contient :

Cache-Control
Content-Language
Content-Length
Content-Type
Expires
Last-Modified
Pragma

Des en-têtes supplémentaires peuvent être indiqués comme sûr à l'aide de l'en-tête Access-Control-Expose-Headers.

Note : Initialement, Content-Length ne faisait pas partie de la liste par défaut des en-têtes de réponse sûrs (voir la pull request 626 du dépôt Fetch).

Exemples

Étendre la liste sûre

La liste des en-têtes de réponse sûrs pour le CORS peut être étendue à l'aide de l'en-tête Access-Control-Expose-Headers :

http

Access-Control-Expose-Headers: X-Custom-Header, Content-Encoding

Voir aussi

HTTP
En-têtes HTTP
Access-Control-Expose-Headers
Entrées du glossaire