Access-Control-Expose-Headers

Access-Control-Expose-Headers 헤더를 통해 서버는 교차-출처 요청 (cross-origin request)에 대한 응답으로 브라우저에서 실행 중인 스크립트가 사용할 수 있는 응답 헤더를 지정할 수 있습니다.

기본적으로 CORS 안전 목록 응답 헤더만 노출됩니다. 클라이언트가 다른 헤더에 접근할 수 있도록 하려면 서버는 Access-Control-Expose-Headers 헤더를 사용하여 헤더를 나열해야 합니다.

헤더 타입 응답 헤더
금지된 헤더 이름 no

문법

http
Access-Control-Expose-Headers: [<header-name>[, <header-name>]*]
Access-Control-Expose-Headers: *

지침

<header-name>

클라이언트가 응답에서 접근할 수 있는 헤더 이름 목록이며, 0개 이상의 콤마로 구분됩니다. CORS 안전 목록 응답 헤더에 추가 됩니다.

* (와일드카드)

*는 자격 증명이 없는 요청 (HTTP 쿠키나 HTTP 인증 정보가 없는 요청)에 대한 특별한 와일드카드 값으로 취급됩니다. 자격 증명이 있는 요청에서는 특별한 의미 없이 문자 그대로 헤더 이름 *로 취급됩니다.

예제

CORS 안전 목록 응답 헤더는 다음과 같습니다. Cache-Control, Content-Language, Content-Length, Content-Type, Expires, Last-Modified, Pragma.

CORS 안전 목록 응답 헤더에 없는 응답 헤더를 노출하려면 다음과 같이 지정할 수 있습니다.

http
Access-Control-Expose-Headers: Content-Encoding

Kuma-Revision과 같은 사용자 지정 헤더를 추가로 표시하려면 여러 헤더를 콤마로 구분하여 지정할 수 있습니다.

http
Access-Control-Expose-Headers: Content-Encoding, Kuma-Revision

자격 증명이 없는 요청의 경우 서버는 와일드카드 값을 사용하여 응답하기도 합니다.

http
Access-Control-Expose-Headers: *

하지만, Authorization 헤더는 와일드카드로 지정할 수 없기 때문에 명시적으로 지정해야 합니다.

http
Access-Control-Expose-Headers: *, Authorization

명세

Specification
Fetch Standard
# http-access-control-expose-headers

브라우저 호환성

BCD tables only load in the browser

같이 보기