CORS-безопасный заголовок ответа
CORS-безопасный заголовок ответа — это HTTP-заголовок в ответе CORS, который считается безопасным для доступа к клиентским скриптам. Веб-страницам доступны только заголовки ответа из списка безопасных.
По умолчанию этот список включает следующие заголовки ответов:
Дополнительные заголовки можно добавить с помощью Access-Control-Expose-Headers.
Примечание: Content-Length не входил в исходный набор безопасных заголовков [ref]
Примеры
Расширение безопасного списка
Расширить список CORS-безопасных заголовков ответа можно используя заголовок Access-Control-Expose-Headers:
http
Access-Control-Expose-Headers: X-Custom-Header, Content-Encoding