CORS-safelisted response header (CORS セーフリストレスポンスヘッダー)

CORS セーフリストレスポンスヘッダー は、CORS レスポンスに含まれる HTTP ヘッダーで、クライアントスクリプトに公開しても 安全 であると見なされます。セーフリストに含まれたレスポンスヘッダーのみがウェブページで利用できます。

既定では以下のレスポンスヘッダーがセーフリストに含まれます。

Access-Control-Expose-Headers ヘッダーを使用して追加のヘッダーをセーフリストに追加することができます。

メモ: Content-Length は既定のセーフリストではありませんでした。 [参照]

セーフリストの拡張

Access-Control-Expose-Headers ヘッダーを使用して、CORS セーフリストレスポンスヘッダーのリストを拡張することができます。

Access-Control-Expose-Headers: X-Custom-Header, Content-Encoding

関連情報