列入 CORS 白名单的响应标头

列入 CORS 白名单的响应标头(CORS-safelisted response header,也被称作“简单响应标头”)是 CORS 响应中可以安全地暴露给客户端脚本的 HTTP 标头。只有列入白名单的响应标头才会对网页可用。

默认情况下,白名单包括以下响应标头:

可以使用 Access-Control-Expose-Headers 标头将其他标头添加到白名单中。

备注: Content-Length 不属于最初列入白名单的响应标头:[参考]

示例

扩展白名单

你可以使用 Access-Control-Expose-Headers 标头扩展列入 CORS 白名单的响应标头的清单:

http
Access-Control-Expose-Headers: X-Custom-Header, Content-Encoding

参见