Kiểm tra CORS
Công cụ kiểm tra chính sách CORS miễn phí trực tuyến
CORS là gì?
CORS (Cross-Origin Resource Sharing) là cơ chế bảo mật cho phép trang web yêu cầu tài nguyên từ tên miền khác với tên miền phục vụ trang. Không có CORS, trình duyệt chặn yêu cầu cross-origin để bảo vệ người dùng khỏi trang web độc hại. CORS header báo cho trình duyệt biết origin, phương thức và header nào được phép.
Cách kiểm tra cấu hình CORS
Nhập URL của API hoặc tài nguyên bạn muốn thử nghiệm. Nhấn Check CORS để xem máy chủ có cho phép yêu cầu cross-origin không. Công cụ hiển thị giá trị Access-Control-Allow-Origin, Allow-Methods và Allow-Headers nếu CORS được bật.
▶Tại sao tôi nhận lỗi CORS trong ứng dụng web?
Lỗi CORS xảy ra khi JavaScript frontend của bạn cố gọi API trên tên miền khác và máy chủ không bao gồm CORS header phù hợp. Máy chủ cần gửi Access-Control-Allow-Origin với tên miền của bạn (hoặc *) trong phản hồi.
▶Yêu cầu CORS preflight là gì?
Trước một số yêu cầu cross-origin, trình duyệt gửi yêu cầu OPTIONS (preflight) để kiểm tra xem yêu cầu thực tế có được phép không. Máy chủ phải phản hồi với CORS header phù hợp để yêu cầu thực tế có thể tiến hành.
▶Đặt Access-Control-Allow-Origin: * có an toàn không?
Đối với API công khai, cho phép tất cả origin (*) là fine. Đối với các endpoint đã xác thực, bạn nên chỉ định origin chính xác để ngăn các trang web trái phép gửi yêu cầu thay mặt người dùng của bạn.