¿Odias los anuncios? Ir Sin publicidad Hoy

Constructor y Validador de Encabezados CORS

Desarrollador
ANUNCIO · ¿ELIMINAR?
APORTE
Proceso automático
Alternar ancho Entrar/Salir de pantalla completa

Origen

Lista separada por comas de los orígenes permitidos

Métodos Permitidos

Encabezados Permitidos

Lista separada por comas de los encabezados de solicitud permitidos

Opciones

Cuánto tiempo los navegadores almacenan en caché los resultados de preflight (predeterminado: 86400 = 24 horas)
Encabezados que el navegador puede acceder desde la respuesta
PROD.
Lado cliente
Alternar ancho Entrar/Salir de pantalla completa

Fragmentos de Código del Servidor

ANUNCIO · ¿ELIMINAR?

Relacionadas

Algunas otras herramientas similares a Constructor y Validador de Encabezados CORS que te pueda resultar útil.

Generador de ID de Snowflake (estilo de Twitter)
DatosDesarrollador

Calculadora de versiones Semver y verificador de rangos
DatosDesarrollador

Validador y evaluador de expresiones XPath
DatosDesarrollador

Guía

Compilador y Validador de Encabezados CORS

Constructor y Validador de Encabezados CORS

Cree encabezados CORS (Cross-Origin Resource Sharing) correctos con un configurador visual. Establezca orígenes, métodos, encabezados y credenciales permitidos, luego obtenga los encabezados HTTP generados y fragmentos de código listos para usar para Express.js, Nginx, Apache, Django, FastAPI, Flask y Go. La validación en tiempo real detecta errores comunes de configuración CORS antes de que lleguen a producción.

Cómo Usar

Configure su política CORS utilizando los controles del formulario: elija el modo de origen (comodín, orígenes específicos o reflejar), seleccione los métodos HTTP permitidos, agregue los encabezados permitidos y habilite las credenciales si es necesario. La herramienta genera los encabezados Access-Control-* correctos al instante, muestra advertencias de validación para errores comunes y proporciona fragmentos de código listos para copiar para 7 frameworks de servidor. Utilice la sección explicativa de CORS para un rápido repaso sobre cómo funciona CORS.

Características

  • Configurador Visual de CORS — Establezca Access-Control-Allow-Origin (comodín, orígenes específicos o reflejar), métodos (GET/POST/PUT/PATCH/DELETE/OPTIONS/HEAD), encabezados personalizados, credenciales, tiempo máximo de antelación y encabezados a exponer.
  • Generación de Encabezados en Tiempo Real — Vea los encabezados de respuesta CORS completos y los encabezados preflight (OPTIONS) actualizarse instantáneamente a medida que configura.
  • 7 Fragmentos de Frameworks de Servidor — Código listo para copiar para Express.js, Nginx, Apache (.htaccess), Django (django-cors-headers), FastAPI (CORSMiddleware), Flask (flask-cors) y Go (net/http). Cada fragmento se genera dinámicamente a partir de su configuración exacta.
  • Validación de Configuración — Las advertencias codificadas por colores detectan errores comunes de CORS: comodín + credenciales (inválido), encabezado Content-Type faltante con POST, método OPTIONS faltante para preflight, tiempo máximo de antelación corto que aumenta el tráfico de preflight.
  • Botones de Añadir Encabezado Rápidamente — Botones de un clic para encabezados comunes: Content-Type, Authorization, X-Requested-With, Accept, Origin.
  • Encabezados Preflight — Visualización separada de los encabezados de respuesta preflight (OPTIONS) cuando difieren de los encabezados CORS normales.
  • Explicador de CORS — Referencia colapsable que cubre solicitudes simples vs preflight, qué desencadena preflight, el papel de cada encabezado y por qué credenciales + comodín es inválido.

Encabezados CORS Explicados

Access-Control-Allow-Origin: Qué orígenes pueden acceder al recurso. El comodín (*) permite todos, o especifique orígenes exactos.
Access-Control-Allow-Methods: Qué métodos HTTP están permitidos para solicitudes de origen cruzado.
Access-Control-Allow-Headers: Qué encabezados de solicitud puede enviar el cliente.
Access-Control-Allow-Credentials: Si el navegador debe incluir cookies/autenticación. No se puede usar con origen comodín.
Access-Control-Max-Age: Cuánto tiempo (segundos) los navegadores almacenan en caché los resultados de preflight.
Access-Control-Expose-Headers: A qué encabezados de respuesta puede acceder el navegador desde JavaScript.

ANUNCIO · ¿ELIMINAR?

¿Qué es CORS y por qué lo necesito?

CORS (Cross-Origin Resource Sharing) es un mecanismo de seguridad del navegador que controla qué sitios web pueden realizar solicitudes a su servidor. Por defecto, los navegadores bloquean las solicitudes de origen cruzado (por ejemplo, su frontend en app.example.com llamando a su API en api.example.com). Los encabezados CORS le indican al navegador qué orígenes, métodos y encabezados están permitidos. Sin una configuración CORS correcta, su API funcionará de servidor a servidor pero fallará cuando se llame desde un navegador, uno de los problemas más comunes en el desarrollo web.

¿Por qué no puedo usar comodín (*) con credenciales?

Cuando Access-Control-Allow-Credentials es verdadero, el navegador requiere que el servidor especifique el origen exacto, no un comodín (*). Esta es una medida de seguridad: si un servidor dice 'cualquier origen puede acceder a este recurso con credenciales (cookies, tokens de autenticación)', permitiría que cualquier sitio web realice solicitudes autenticadas en nombre del usuario. Los navegadores aplican esta restricción para prevenir el robo de credenciales. En lugar de un comodín, use el modo 'Reflejar Origen': el servidor lee el encabezado Origin de la solicitud y lo devuelve si está en la lista permitida.

¿Qué es una solicitud preflight?

Una solicitud preflight es una solicitud OPTIONS automática que el navegador envía antes de ciertas solicitudes de origen cruzado para verificar si el servidor las permite. Preflight se activa cuando: la solicitud utiliza métodos distintos de GET/HEAD/POST, incluye encabezados personalizados (como Authorization) o utiliza tipos de Content-Type distintos de datos de formulario o texto plano. El servidor debe responder a OPTIONS con los encabezados Access-Control-Allow-* apropiados. Si el preflight falla, el navegador bloquea la solicitud real. El encabezado Access-Control-Max-Age controla cuánto tiempo los navegadores almacenan en caché los resultados de preflight.

¿Qué fragmento de framework de servidor debo usar?

Elija según su tecnología de backend: Express.js para API de Node.js, Nginx para servidores proxy inversos/archivos estáticos, Apache para hosting tradicional (.htaccess), Django para proyectos Django de Python (usa el paquete django-cors-headers), FastAPI para API modernas de Python (CORSMiddleware incorporado), Flask para aplicaciones Flask de Python (usa flask-cors) y Go para servidores Go net/http. Cada fragmento se genera a partir de su configuración exacta: simplemente cópielo y péguelo en su proyecto. Para implementaciones en contenedores, es posible que deba configurar CORS en el nivel del proxy inverso (Nginx/Apache) en lugar del nivel de la aplicación.

¿Quieres eliminar publicidad? Adiós publicidad hoy

Instalar extensiones

Agregue herramientas IO a su navegador favorito para obtener acceso instantáneo y búsquedas más rápidas

añadir Extensión de Chrome añadir Extensión de borde añadir Extensión de Firefox añadir Extensión de Opera

¡El marcador ha llegado!

Marcador es una forma divertida de llevar un registro de tus juegos, todos los datos se almacenan en tu navegador. ¡Próximamente habrá más funciones!

ANUNCIO · ¿ELIMINAR?

Herramientas clave

Ver todo
Eliminador de fondo
Editor de imágenes con IA
Generador de imágenes con IA
Kit de imágenes
Compresor de PDF
Convertidor de imágenes
Enlace único
ANUNCIO · ¿ELIMINAR?

Los recién llegados

Ver todo
Generador de ID de Snowflake (estilo de Twitter)
Calculadora de versiones Semver y verificador de rangos
Validador y evaluador de expresiones XPath
Visualizador y Editor de Rutas SVG
Generador de ID Nano
Generador de Flexbox CSS (Visual)
Codificador / Construidor de JWT

Actualizar: Nuestro última herramienta se agregó el 26 abr. 2026

ANUNCIO · ¿ELIMINAR?

Noticias Aspectos técnicos clave

Involucrarse

Ayúdanos a seguir brindando valiosas herramientas gratuitas

Invítame a un café
ANUNCIO · ¿ELIMINAR?