列入 CORS 白名单的响应标头
列入 CORS 白名单的响应标头(CORS-safelisted response header,也被称作“简单响应标头”)是 CORS 响应中可以安全地暴露给客户端脚本的 HTTP 标头。只有列入白名单的响应标头才会对网页可用。
默认情况下,白名单包括以下响应标头:
可以使用 Access-Control-Expose-Headers
标头将其他标头添加到白名单中。
备注: Content-Length
不属于最初列入白名单的响应标头:[参考]
示例
扩展白名单
你可以使用 Access-Control-Expose-Headers
标头扩展列入 CORS 白名单的响应标头的清单:
http
Access-Control-Expose-Headers: X-Custom-Header, Content-Encoding