ZenovayTools

CORS-Prüfer

Testen Sie Cross-Origin Resource Sharing (CORS)-Header für jede URL. Überprüfen Sie, ob eine API oder Ressource Anfragen von Ihrer Domain zulässt.

So verwenden Sie CORS-Prüfer

  1. 1Geben Sie die API- oder Ressourcen-URL ein, die Sie testen möchten.
  2. 2Geben Sie optional den Origin-Header an, um ihn zu testen (Standard: unser Server).
  3. 3Sehen Sie alle CORS-Antwortheader und ob domänenübergreifende Anfragen zulässig sind.
  4. 4Verwenden Sie die Diagnose, um CORS-Fehlkonfigurationen zu beheben.
ZenovayAnalytics

Sehen Sie, wer gerade auf Ihrer Seite ist.

  • Besucher-Tracking in Echtzeit
  • Datenschutz zuerst, kein Cookie-Banner
  • In zwei Minuten eingerichtet
Zenovay entdecken

Verwandte Tools

JSON-Formatter und Validator
Formatieren, validieren und verschönern Sie JSON-Daten mit Syntaxhervorhebung und Fehlererkennung.
JWT-Decoder
Dekodieren und inspizieren Sie JWT-Token. Zeigen Sie Header, Payload und überprüfen Sie Signaturen.
Base64 Encode/Decode
Kodieren Sie Text in Base64 oder dekodieren Sie Base64 zurück in Text. Unterstützt UTF-8 und Binärdaten.
URL Codierungstool
Codieren oder decodieren Sie URL-Komponenten. Verarbeiten Sie Sonderzeichen, Abfragezeichenfolgen und vollständige URLs.

Häufig gestellte Fragen

Was ist CORS und warum ist es wichtig?
Cross-Origin Resource Sharing (CORS) ist ein Browser-Sicherheitsmechanismus, der steuert, welche Websites Anfragen an Ihre API oder Ihren Server stellen können. Ohne ordnungsgemäße CORS-Header blockieren Browser JavaScript Fetch/XHR-Anfragen von anderen Domänen. Falsch konfiguriertes CORS kann entweder legitime Integrationen unterbrechen oder Ihre API für unbefugten Zugriff exponieren.
Was testet dieser CORS-Checker?
Er sendet eine OPTIONS-Preflight-Anfrage (und Fallback-GET) an Ihre URL mit dem angegebenen Origin, inspiziert dann alle Access-Control-Allow-*-Antwortheader. Er überprüft, ob der Origin zulässig ist, welche Methoden und Header erlaubt sind, ob Anmeldeinformationen unterstützt werden, und kennzeichnet Sicherheitsprobleme wie Wildcard+Credentials-Konflikte.
Was ist der Unterschied zwischen einer einfachen Anfrage und einem Preflight?
Einfache Anfragen (GET/POST mit Standard-Headern) werden direkt gesendet. Preflight-Anfragen sind OPTIONS-Anfragen, die Browser vor der eigentlichen Anfrage senden, um zu überprüfen, ob der Server den Cross-Origin-Aufruf zulässt. Dieser Checker testet den Preflight-Pfad, den die meisten APIs mit benutzerdefinierten Headern oder nicht-einfachen Methoden erfordern.
Warum ist Access-Control-Allow-Origin: * ein Sicherheitsproblem?
Ein Wildcard (*) erlaubt jeder Website, die Antworten Ihres Servers zu lesen. Für öffentliche APIs kann dies beabsichtigt sein, aber für APIs, die authentifizierte Daten verarbeiten, bedeutet dies, dass jede bösartige Website potenziell auf die Daten Ihrer Benutzer zugreifen könnte, wenn der Benutzer sie besucht. Verwenden Sie stattdessen spezifische Origins wie https://yourdomain.com.
Kann ich Anmeldeinformationen mit einem Wildcard-Origin verwenden?
Nein. Die CORS-Spezifikation verbietet explizit die Kombination von Access-Control-Allow-Origin: * mit Access-Control-Allow-Credentials: true. Browser werden diese Kombination ablehnen. Um Anmeldeinformationen zu erlauben, müssen Sie den spezifischen Request-Origin in Ihrem Access-Control-Allow-Origin-Antwortheader widerspiegeln.
Was tut "Access-Control-Max-Age"?
Max-Age teilt Browsern mit, wie lange (in Sekunden) die Preflight-Antwort zwischengespeichert werden soll. Ohne sie senden Browser vor jeder Cross-Origin-Anfrage ein OPTIONS-Preflight, was Latenz hinzufügt. Das Setzen auf 86400 (24 Stunden) ist für stabile APIs üblich. Chrome begrenzt es auf 7200s, Firefox auf 86400s.
Mein CORS-Check besteht, aber mein Browser blockiert die Anfrage immer noch — warum?
Dieses Tool überprüft CORS-Header auf Server-Ebene, kann aber nicht alle Browser-Verhaltensweisen simulieren. Häufige Probleme: (1) Die Anfrage enthält nicht-einfache Header, die nicht in Access-Control-Allow-Headers aufgelistet sind, (2) Anmeldeinformationen werden gesendet, aber der Server gibt Wildcard-Origin zurück, (3) Die Antwort enthält Cookies, die SameSite=None ohne Secure setzen, (4) Eine Umleitung ändert den Origin. Überprüfen Sie die Browser DevTools Network-Registerkarte auf den genauen Fehler.