Это потому, что заголовок Location по умолчанию не доступен вызывающему клиенту (в данном случае ваш ajax-код) (это «небезопасно»).Чтобы открыть его, вы должны вернуть дополнительный заголовок:
Access-Control-Expose-Headers: Location
Таким образом, браузер предоставит его, чтобы клиент мог его прочитать.Вы можете добавить туда несколько заголовков, разделенных запятыми.Подробнее об этом здесь . Здесь вы можете прочитать, какие методы, заголовки и типы контента безопасны (просты) и не требуют дополнительной настройки.