Verifica CORS
Strumento gratuito online per verifica policy CORS
Cos'è CORS?
CORS (Cross-Origin Resource Sharing) è un meccanismo di sicurezza che permette a una pagina web di richiedere risorse da un dominio diverso da quello che la serve. Senza CORS, i browser bloccano le richieste cross-origin per proteggere gli utenti da siti web malevoli. Gli header CORS indicano al browser quali origini, metodi e header sono permessi.
Come verificare la configurazione CORS
Inserisci l'URL dell'API o della risorsa che vuoi testare. Clicca Verifica CORS per vedere se il server permette le richieste cross-origin. Lo strumento mostra i valori di Access-Control-Allow-Origin, Allow-Methods e Allow-Headers se CORS è abilitato.
▶Perché ottengo errori CORS nella mia web app?
Gli errori CORS si verificano quando il tuo JavaScript frontend tenta di chiamare un'API su un dominio diverso e il server non include gli header CORS corretti. Il server deve inviare Access-Control-Allow-Origin con il tuo dominio (o *) nella risposta.
▶Cos'è una richiesta preflight CORS?
Prima di certe richieste cross-origin, il browser invia una richiesta OPTIONS (preflight) per verificare se la richiesta effettiva è consentita. Il server deve rispondere con gli header CORS appropriati affinché la richiesta reale possa procedere.
▶Impostare Access-Control-Allow-Origin: * è sicuro?
Per API pubbliche, consentire tutte le origini (*) va bene. Per endpoint autenticati, dovresti specificare le origini esatte per impedire a siti web non autorizzati di effettuare richieste a nome dei tuoi utenti.