Công cụ kiểm tra chính sách CORS
Công cụ kiểm tra chính sách CORS trực tuyến miễn phí
CORS là gì?
CORS (Cross-Origin Resource Sharing) là cơ chế bảo mật cho phép trang web yêu cầu tài nguyên từ tên miền khác với tên miền phục vụ trang. Không có CORS, trình duyệt chặn yêu cầu cross-origin để bảo vệ người dùng khỏi trang web độc hại. CORS header báo cho trình duyệt biết origin, phương thức và header nào được phép.
Cách kiểm tra cấu hình CORS
Nhập URL của API hoặc tài nguyên bạn muốn thử nghiệm. Nhấn Check CORS để xem máy chủ có cho phép yêu cầu cross-origin không. Công cụ hiển thị giá trị Access-Control-Allow-Origin, Allow-Methods và Allow-Headers nếu CORS được bật.
▶Tại sao tôi nhận lỗi CORS trong ứng dụng web?
Lỗi CORS xảy ra khi JavaScript frontend của bạn cố gọi API trên tên miền khác và máy chủ không bao gồm CORS header phù hợp. Máy chủ cần gửi Access-Control-Allow-Origin với tên miền của bạn (hoặc *) trong phản hồi.
▶Yêu cầu CORS preflight là gì?
Trước một số yêu cầu cross-origin, trình duyệt gửi yêu cầu OPTIONS (preflight) để kiểm tra xem yêu cầu thực tế có được phép không. Máy chủ phải phản hồi với CORS header phù hợp để yêu cầu thực tế có thể tiến hành.
▶Đặt Access-Control-Allow-Origin: * có an toàn không?
Đối với API công khai, cho phép tất cả origin (*) là fine. Đối với các endpoint đã xác thực, bạn nên chỉ định origin chính xác để ngăn các trang web trái phép gửi yêu cầu thay mặt người dùng của bạn.
Nếu công cụ này đã giúp ích cho bạn, hãy nghĩ đến việc mua một cốc cà phê cho tôi.
Hãy mua cho tôi một cốc cà phê nhé.