Pembuat & Validator Header CORS

Memandu

Pembuat & Validator Header CORS

Buat header CORS (Cross-Origin Resource Sharing) yang benar dengan konfigurator visual. Atur asal, metode, header, dan kredensial yang diizinkan, lalu dapatkan header HTTP yang dihasilkan dan cuplikan kode yang siap digunakan untuk Express.js, Nginx, Apache, Django, FastAPI, Flask, dan Go. Validasi waktu nyata mendeteksi kesalahan konfigurasi CORS umum sebelum mencapai produksi.

Cara Penggunaan

Konfigurasikan kebijakan CORS Anda menggunakan kontrol formulir: pilih mode asal (wildcard, asal spesifik, atau pantulkan), pilih metode HTTP yang diizinkan, tambahkan header yang diizinkan, dan aktifkan kredensial jika diperlukan. Alat ini secara instan menghasilkan header Access-Control-* yang benar, menampilkan peringatan validasi untuk kesalahan umum, dan menyediakan cuplikan kode yang siap disalin untuk 7 kerangka kerja server. Gunakan bagian penjelas CORS untuk penyegaran singkat tentang cara kerja CORS.

Fitur

Konfigurator CORS Visual — Atur Access-Control-Allow-Origin (wildcard, asal spesifik, atau pantulkan), metode (GET/POST/PUT/PATCH/DELETE/OPTIONS/HEAD), header kustom, kredensial, max-age, dan expose-headers.
Pembuatan Header Waktu Nyata — Lihat header respons CORS lengkap dan header pra-pemeriksaan (OPTIONS) yang diperbarui secara instan saat Anda mengonfigurasi.
7 Cuplikan Kerangka Kerja Server — Kode siap salin untuk Express.js, Nginx, Apache (.htaccess), Django (django-cors-headers), FastAPI (CORSMiddleware), Flask (flask-cors), dan Go (net/http). Setiap cuplikan dihasilkan secara dinamis dari konfigurasi Anda.
Validasi Konfigurasi — Peringatan berkode warna mendeteksi kesalahan CORS umum: wildcard + kredensial (tidak valid), header Content-Type yang hilang dengan POST, metode OPTIONS yang hilang untuk pra-pemeriksaan, max-age pendek meningkatkan lalu lintas pra-pemeriksaan.
Tombol Tambah Header Cepat — Tombol sekali klik untuk header umum: Content-Type, Authorization, X-Requested-With, Accept, Origin.
Header Pra-Pemeriksaan — Tampilan terpisah dari header respons pra-pemeriksaan (OPTIONS) ketika berbeda dari header CORS biasa.
Penjelas CORS — Referensi yang dapat diciutkan mencakup permintaan sederhana vs pra-pemeriksaan, apa yang memicu pra-pemeriksaan, peran setiap header, dan mengapa kredensial + wildcard tidak valid.

Header CORS Dijelaskan

Access-Control-Allow-Origin: Asal mana yang dapat mengakses sumber daya. Wildcard (*) mengizinkan semua, atau tentukan asal yang tepat.
Access-Control-Allow-Methods: Metode HTTP mana yang diizinkan untuk permintaan lintas asal.
Access-Control-Allow-Headers: Header permintaan mana yang boleh dikirim oleh klien.
Access-Control-Allow-Credentials: Apakah browser harus menyertakan cookie/auth. Tidak dapat digunakan dengan asal wildcard.
Access-Control-Max-Age: Berapa lama (detik) browser menyimpan hasil pra-pemeriksaan.
Access-Control-Expose-Headers: Header respons mana yang dapat diakses browser dari JavaScript.

IKLAN · HAPUS?

Apa itu CORS dan mengapa saya membutuhkannya?

CORS (Cross-Origin Resource Sharing) adalah mekanisme keamanan browser yang mengontrol situs web mana yang dapat membuat permintaan ke server Anda. Secara default, browser memblokir permintaan lintas asal (misalnya, frontend Anda di app.example.com yang memanggil API Anda di api.example.com). Header CORS memberi tahu browser asal, metode, dan header mana yang diizinkan. Tanpa konfigurasi CORS yang benar, API Anda akan berfungsi dari server-ke-server tetapi gagal saat dipanggil dari browser — salah satu masalah paling umum dalam pengembangan web.

Mengapa saya tidak bisa menggunakan wildcard (*) dengan kredensial?

Ketika Access-Control-Allow-Credentials bernilai true, browser mengharuskan server untuk menentukan asal yang tepat — bukan wildcard (*). Ini adalah tindakan keamanan: jika server mengatakan 'asal mana pun dapat mengakses sumber daya ini dengan kredensial (cookie, token otorisasi),' itu akan memungkinkan situs web mana pun untuk membuat permintaan terautentikasi atas nama pengguna. Browser memberlakukan batasan ini untuk mencegah pencurian kredensial. Alih-alih wildcard, gunakan mode 'Pantulkan Asal' — server membaca header Origin permintaan dan membalasnya jika ada dalam daftar yang diizinkan.

Apa itu permintaan pra-pemeriksaan?

Permintaan pra-pemeriksaan adalah permintaan OPTIONS otomatis yang dikirim browser sebelum permintaan lintas asal tertentu untuk memeriksa apakah server mengizinkannya. Pra-pemeriksaan dipicu ketika: permintaan menggunakan metode selain GET/HEAD/POST, menyertakan header kustom (seperti Authorization), atau menggunakan nilai Content-Type selain data formulir atau teks biasa. Server harus merespons OPTIONS dengan header Access-Control-* yang sesuai. Jika pra-pemeriksaan gagal, browser akan memblokir permintaan yang sebenarnya. Header Access-Control-Max-Age mengontrol berapa lama browser menyimpan hasil pra-pemeriksaan.

Cuplikan kerangka kerja server mana yang harus saya gunakan?

Pilih berdasarkan teknologi backend Anda: Express.js untuk API Node.js, Nginx untuk server proxy terbalik/file statis, Apache untuk hosting tradisional (.htaccess), Django untuk proyek Django Python (menggunakan paket django-cors-headers), FastAPI untuk API Python modern (CORSMiddleware bawaan), Flask untuk aplikasi Flask Python (menggunakan flask-cors), dan Go untuk server Go net/http. Setiap cuplikan dihasilkan dari konfigurasi Anda yang tepat — cukup salin dan tempel ke proyek Anda. Untuk penerapan dalam kontainer, Anda mungkin perlu mengonfigurasi CORS di tingkat proxy terbalik (Nginx/Apache) daripada di tingkat aplikasi.

Pembuat & Validator Header CORS

Memandu