Sprawdzanie CORS
Darmowe narzędzie online do sprawdzania polityki CORS
Co to jest CORS?
CORS (Cross-Origin Resource Sharing) to mechanizm bezpieczeństwa pozwalający stronie WWW żądać zasobów z innej domeny niż ta, która serwuje stronę. Bez CORS przeglądarki blokują żądania cross-origin, aby chronić użytkowników przed złośliwymi stronami. Nagłówki CORS mówią przeglądarce, które źródła, metody i nagłówki są dozwolone.
Jak sprawdzić konfigurację CORS
Wpisz URL API lub zasobu, który chcesz przetestować. Kliknij Sprawdź CORS, aby zobaczyć, czy serwer zezwala na żądania cross-origin. Narzędzie pokazuje wartości Access-Control-Allow-Origin, Allow-Methods i Allow-Headers, jeśli CORS jest włączony.
▶Dlaczego otrzymuję błędy CORS w mojej aplikacji?
Błędy CORS występują, gdy Twój frontend JavaScript próbuje wywołać API na innej domenie, a serwer nie zawiera odpowiednich nagłówków CORS. Serwer musi wysłać Access-Control-Allow-Origin z Twoją domeną (lub *) w odpowiedzi.
▶Co to jest żądanie preflight CORS?
Przed pewnymi żądaniami cross-origin przeglądarka wysyła żądanie OPTIONS (preflight), aby sprawdzić, czy właściwe żądanie jest dozwolone. Serwer musi odpowiedzieć odpowiednimi nagłówkami CORS, aby właściwe żądanie mogło zostać wysłane.
▶Czy ustawienie Access-Control-Allow-Origin: * jest bezpieczne?
Dla publicznych API pozwolenie wszystkim źródłom (*) jest w porządku. Dla punktów końcowych z autentykacją powinieneś określić dokładne źródła, aby zapobiec nieautoryzowanym stronom wysyłającym żądania w imieniu Twoich użytkowników.