Почему нужны Access-Control-Expose-Headers?

Я искал конкретные соображения безопасности о том, почему это было добавлено. Это был своего рода момент WTH, когда я применял корс и мог видеть все возвращаемые заголовки, но я не мог получить к ним доступ через javascript ..

CORS реализуется таким образом, что он не нарушает предположений, сделанных в пред-CORS, мире с единственным происхождением.

В мире pre-CORS клиент может инициировать запрос кросс-происхождения (например, с помощью тега скрипта), но он не может прочитать заголовки ответов.

Чтобы гарантировать, что CORS не нарушит это предположение, спецификация CORS требует от сервера предоставления явных разрешений клиенту читать эти заголовки (через заголовок Access-Control-Expose-Headers ). Таким образом, несанкционированные запросы CORS ведут себя так же, как в мире до CORS.

Это довольно хороший вопрос. Просматривая http://www.w3.org/TR/cors/#simple-response-header , неясно, зачем вам это нужно или нужно сделать.

Спецификация CORS вкладывает много сил в идею о том, что у вас должно быть рукопожатие предварительного запроса, когда клиент запрашивает тип соединения, и сервер отвечает, что он это разрешит, – поэтому это может быть просто еще одним аспектом этого ,

По умолчанию длина содержимого не является допустимым заголовком, поэтому я столкнулся с той же проблемой (позже, когда мне нужно было получить доступ к WebDAV и пришлось модифицировать допустимые параметры). CORS действительно не имеет большого смысла (мне ) в первую очередь, поэтому меня не удивило бы, если бы это были капризы.

  • Понимание CORS
  • Почему API-интерфейсы браузера ограничивают междоменные запросы?
  • CORS. Какова мотивация внедрения предполетных запросов?
  • CORS в ASP.NET MVC5
  • Bottle Py: включение CORS для запросов JQuery AJAX
  • S3 - заголовок заголовка Access-Control-Allow-Origin
  • CORS включен, но ответ для предполета имеет недопустимый код статуса HTTP 404, когда POSTING JSON
  • Set-Cookie в браузере с запросом Ajax через CORS
  • Ajax с использованием https на странице http
  • Проблема CORS - заголовок «Access-Control-Allow-Origin» отсутствует на запрошенном ресурсе
  • ионное приложение не может подключить сервер с поддержкой cors с помощью $ http
  • Давайте будем гением компьютера.