4
我在Chrome开发工具中看到的响应标题与Angular 2在Chrome控制台中显示的响应标题不匹配。
只有Content-Type头是显示了在已执行之后:
this.http.get(tempUrl).map(res=>{
console.log("csrf received");
console.log(res);
})
A
回答
7
只有 “安全” 的标头一定列表默认(为Javascript)露出。这是出于安全原因。该名单如下
- 的Cache-Control
- 内容语言
- 内容类型
- 过期
- 的Last-Modified
- 附注
为了揭露其他标题,服务器应该发送访问控制标题Access-Control-Expose-Headers标题,列出它想要公开的不同标题。
Access-Control-Expose-Headers: Content-Length, X-CSRF-Token