为什么需要Access-Control-Expose-Headers？

CORS的实现方式不会破坏在CORS之前，仅支持同源请求的假设。

在CORS之前的世界中，客户端可以通过脚本标签触发跨源请求，但它无法读取响应头。

为了确保CORS不会破坏这个假设，CORS规范要求服务器明确授权客户端读取这些头信息（通过Access-Control-Expose-Headers头）。这样，未经授权的CORS请求的行为就像在CORS世界以前一样。

以下是为什么需要Access-Control-Expose-Headers的原因:
Access-Control-Expose-Headers（可选）-XMLHttpRequest 2对象具有getResponseHeader()方法，该方法返回特定响应标头的值。在CORS请求期间，getResponseHeader()方法只能访问简单响应标头。简单响应标头定义如下： • Cache-Control • Content-Language • Content-Type • Expires • Last-Modified • Pragma
如果您希望客户端能够访问其他标头，则必须使用Access-Control-Expose-Headers标头。该标头的值是要公开向客户端公开的响应标头的逗号分隔列表。
更多参考请访问链接https://www.html5rocks.com/en/tutorials/cors/ 愉快的编码!!

这是一个非常好的问题。浏览http://www.w3.org/TR/cors/#simple-response-header，并不明显为什么你想要或需要这样做。

CORS规范非常重视客户端和服务器之间进行预请求握手的概念，客户端请求连接类型，服务器响应允许连接类型，所以这可能只是其中的另一个方面。

默认情况下，Content-Length不是允许的标头，所以我遇到了同样的问题（后来需要访问WebDAV并需要修改允许的参数）... 对我来说，CORS一开始就没有多大意义，所以如果其中的大片内容是任性的，我也不会感到惊讶。