Anúncios incomodam? Ir Sem anúncios Hoje

Construtor e Validador de Cabeçalhos CORS

Desenvolvedor
ANUNCIADO Remover?
ENTRADA
Processo Automático
Alternar largura Entrar/Sair da tela cheia

Origem

Lista separada por vírgulas de origens permitidas

Métodos Permitidos

Cabeçalhos Permitidos

Lista separada por vírgulas de cabeçalhos de solicitação permitidos

Opções

Tempo de cache dos navegadores para resultados de preflight (padrão: 86400 = 24 horas)
Cabeçalhos que o navegador pode acessar da resposta
SAÍDA
Lado cliente
Alternar largura Entrar/Sair da tela cheia

Snippets de Código do Servidor

ANUNCIADO Remover?

Relacionadas

Algumas outras ferramentas semelhantes a Construtor e Validador de Cabeçalhos CORS que você pode achar útil.

Gerador de sequência DNA / RNA
DadosDesenvolvedor

Calculadora de Soma de Verificação CRC (CRC-8/16/32/64)
DadosDesenvolvedor

Estimador de Contagem de Tokens de LLM
DadosDesenvolvedor

Guia

Construtor e Validador de Cabeçalhos CORS

Construtor e Validador de Cabeçalhos CORS

Construa cabeçalhos CORS (Cross-Origin Resource Sharing) corretos com um configurador visual. Defina origens, métodos, cabeçalhos e credenciais permitidos, em seguida, obtenha os cabeçalhos HTTP gerados e snippets de código prontos para uso para Express.js, Nginx, Apache, Django, FastAPI, Flask e Go. A validação em tempo real captura erros comuns de configuração CORS antes que cheguem à produção.

Como usar

Configure sua política CORS usando os controles do formulário: escolha o modo de origem (curinga, origens específicas ou refletir), selecione os métodos HTTP permitidos, adicione cabeçalhos permitidos e habilite credenciais, se necessário. A ferramenta gera os cabeçalhos Access-Control-* corretos instantaneamente, mostra avisos de validação para erros comuns e fornece snippets de código prontos para copiar para 7 frameworks de servidor. Use a seção explicadora de CORS para uma rápida revisão de como o CORS funciona.

Características

  • Configurador Visual de CORS — Defina Access-Control-Allow-Origin (curinga, origens específicas ou refletir), métodos (GET/POST/PUT/PATCH/DELETE/OPTIONS/HEAD), cabeçalhos personalizados, credenciais, tempo máximo e cabeçalhos a expor.
  • Geração de Cabeçalhos em Tempo Real — Veja os cabeçalhos completos da resposta CORS e os cabeçalhos preflight (OPTIONS) atualizarem instantaneamente enquanto você configura.
  • 7 Snippets de Frameworks de Servidor — Código pronto para copiar para Express.js, Nginx, Apache (.htaccess), Django (django-cors-headers), FastAPI (CORSMiddleware), Flask (flask-cors) e Go (net/http). Cada snippet é gerado dinamicamente a partir da sua configuração. Para implantações em contêineres, pode ser necessário configurar o CORS no nível do proxy reverso (Nginx/Apache) em vez do nível do aplicativo.
  • Validação de Configuração — Avisos codificados por cores capturam erros comuns de CORS: curinga + credenciais (inválido), cabeçalho Content-Type ausente com POST, método OPTIONS ausente para preflight, tempo máximo curto aumentando o tráfego de preflight.
  • Botões de Adição Rápida de Cabeçalho — Botões de um clique para cabeçalhos comuns: Content-Type, Authorization, X-Requested-With, Accept, Origin.
  • Cabeçalhos Preflight — Exibição separada dos cabeçalhos de resposta preflight (OPTIONS) quando eles diferem dos cabeçalhos CORS regulares.
  • Explicador de CORS — Referência recolhível cobrindo requisições simples vs preflight, o que aciona o preflight, o papel de cada cabeçalho e por que credenciais + curinga é inválido.

Cabeçalhos CORS Explicados

Access-Control-Allow-Origin: Quais origens podem acessar o recurso. Curinga (*) permite todas, ou especifique origens exatas.
Access-Control-Allow-Methods: Quais métodos HTTP são permitidos para requisições cross-origin.
Access-Control-Allow-Headers: Quais cabeçalhos de requisição o cliente está autorizado a enviar.
Access-Control-Allow-Credentials: Se o navegador deve incluir cookies/auth. Não pode ser usado com origem curinga.
Access-Control-Max-Age: Por quanto tempo (segundos) os navegadores armazenam em cache os resultados preflight.
Access-Control-Expose-Headers: Quais cabeçalhos de resposta o navegador pode acessar a partir do JavaScript.

ANUNCIADO Remover?

O que é CORS e por que preciso dele?

CORS (Cross-Origin Resource Sharing) é um mecanismo de segurança do navegador que controla quais sites podem fazer requisições ao seu servidor. Por padrão, os navegadores bloqueiam requisições cross-origin (por exemplo, seu frontend em app.example.com chamando sua API em api.example.com). Os cabeçalhos CORS informam ao navegador quais origens, métodos e cabeçalhos são permitidos. Sem a configuração CORS correta, sua API funcionará de servidor para servidor, mas falhará quando chamada de um navegador — um dos problemas mais comuns no desenvolvimento web.

Por que não posso usar curinga (*) com credenciais?

Quando Access-Control-Allow-Credentials é true, o navegador exige que o servidor especifique a origem exata — não curinga (*). Esta é uma medida de segurança: se um servidor dissesse 'qualquer origem pode acessar este recurso com credenciais (cookies, tokens de autenticação)', isso permitiria que qualquer site fizesse requisições autenticadas em nome do usuário. Os navegadores impõem essa restrição para evitar roubo de credenciais. Em vez de curinga, use o modo 'Refletir Origem' — o servidor lê o cabeçalho Origin da requisição e o ecoa de volta se ele estiver na lista permitida.

O que é uma requisição preflight?

Uma requisição preflight é uma requisição OPTIONS automática que o navegador envia antes de certas requisições cross-origin para verificar se o servidor as permite. O preflight é acionado quando: a requisição usa métodos diferentes de GET/HEAD/POST, inclui cabeçalhos personalizados (como Authorization), ou usa valores de Content-Type diferentes de dados de formulário ou texto simples. O servidor deve responder ao OPTIONS com os cabeçalhos Access-Control-Allow-* apropriados. Se o preflight falhar, o navegador bloqueia a requisição real. O cabeçalho Access-Control-Max-Age controla por quanto tempo os navegadores armazenam em cache os resultados preflight.

Qual snippet de framework de servidor devo usar?

Escolha com base na sua tecnologia de backend: Express.js para APIs Node.js, Nginx para servidores proxy reverso/arquivos estáticos, Apache para hospedagem tradicional (.htaccess), Django para projetos Django em Python (usa o pacote django-cors-headers), FastAPI para APIs Python modernas (CORSMiddleware integrado), Flask para aplicativos Flask em Python (usa flask-cors) e Go para servidores Go net/http. Cada snippet é gerado a partir da sua configuração exata — basta copiar e colar em seu projeto. Para implantações em contêineres, pode ser necessário configurar o CORS no nível do proxy reverso (Nginx/Apache) em vez do nível do aplicativo.

Quer eliminar anúncios? Fique sem anúncios hoje mesmo

Instale nossas extensões

Adicione ferramentas de IO ao seu navegador favorito para acesso instantâneo e pesquisa mais rápida

Ao Extensão do Chrome Ao Extensão de Borda Ao Extensão Firefox Ao Extensão Opera

O placar chegou!

Placar é uma forma divertida de acompanhar seus jogos, todos os dados são armazenados em seu navegador. Mais recursos serão lançados em breve!

ANUNCIADO Remover?

Ferramentas essenciais

Ver tudo
Removedor de fundo
Editor de imagens de IA
Gerador de imagens de IA
Kit de imagens
Compressor de PDF
Conversor de Imagem
Link único
ANUNCIADO Remover?

Novas chegadas

Ver tudo
Gerador de sequência DNA / RNA
Calculadora de Soma de Verificação CRC (CRC-8/16/32/64)
Estimador de Contagem de Tokens de LLM
Validador e Decodificador de UUID
Gerador de ID de Neve (estilo do Twitter)
Calculadora de Versão Semver e Testador de Intervalo
Testador e Avaliador de Expressão XPath

Atualizar: Nosso ferramenta mais recente foi adicionado em 27 abr, 2026

ANUNCIADO Remover?

Notícias com destaques técnicos

Envolver-se

Ajude-nos a continuar fornecendo ferramentas gratuitas valiosas

Compre-me um café
ANUNCIADO Remover?