ZenovayTools

Verificador de CORS

Prueba los encabezados Cross-Origin Resource Sharing (CORS) para cualquier URL. Comprueba si una API o recurso permite solicitudes desde tu dominio.

Cómo usar Verificador de CORS

  1. 1Ingresa la URL de la API o recurso que deseas probar.
  2. 2Opcionalmente especifica el encabezado Origin para probar (por defecto es nuestro servidor).
  3. 3Ve todos los encabezados de respuesta de CORS y si se permiten solicitudes entre orígenes.
  4. 4Utiliza el diagnóstico para corregir las configuraciones incorrectas de CORS.
ZenovayAnalytics

Ve quién está en tu sitio ahora mismo.

  • Seguimiento de visitantes en tiempo real
  • Privacidad primero, sin aviso de cookies
  • Configurado en dos minutos
Descubre Zenovay

Herramientas relacionadas

Formateador y Validador JSON
Formatea, valida y embellece datos JSON con resaltado de sintaxis y detección de errores.
Decodificador JWT
Decodifica e inspecciona tokens JWT. Consulta el encabezado, la carga útil y verifica firmas.
Base64 Codificar/Decodificar
Codifica texto a Base64 o decodifica Base64 a texto. Soporta UTF-8 y datos binarios.
Codificador/Decodificador de URL
Codifica o decodifica componentes de URL. Maneja caracteres especiales, cadenas de consulta y URLs completas.

Preguntas frecuentes

¿Qué es CORS y por qué importa?
Cross-Origin Resource Sharing (CORS) es un mecanismo de seguridad del navegador que controla qué sitios web pueden hacer solicitudes a su API o servidor. Sin los encabezados CORS adecuados, los navegadores bloquearán las solicitudes fetch/XHR de JavaScript desde otros dominios. Una configuración incorrecta de CORS puede romper integraciones legítimas o exponer su API a accesos no autorizados.
¿Qué prueba este verificador de CORS?
Envía una solicitud de preflight OPTIONS (y un GET de respaldo) a su URL con el origen especificado, luego inspecciona todos los encabezados de respuesta Access-Control-Allow-*. Comprueba si el origen está permitido, qué métodos y encabezados están permitidos, si se admiten credenciales, y marca problemas de seguridad como conflictos entre comodín y credenciales.
¿Cuál es la diferencia entre una solicitud simple y un preflight?
Las solicitudes simples (GET/POST con encabezados estándar) se envían directamente. Las solicitudes de preflight son solicitudes OPTIONS enviadas por los navegadores antes de la solicitud real para verificar si el servidor permite la llamada de origen cruzado. Este verificador prueba la ruta de preflight, que es lo que requieren la mayoría de las APIs con encabezados personalizados o métodos no simples.
¿Por qué Access-Control-Allow-Origin: * es un problema de seguridad?
Un comodín (*) permite que cualquier sitio web lea las respuestas de su servidor. Para las APIs públicas esto puede ser intencional, pero para las APIs que manejan datos autenticados significa que cualquier sitio web malicioso podría potencialmente acceder a los datos de sus usuarios si el usuario lo visita. Use orígenes específicos como https://sudominio.com en su lugar.
¿Puedo usar credenciales con un origen comodín?
No. La especificación CORS prohíbe explícitamente combinar Access-Control-Allow-Origin: * con Access-Control-Allow-Credentials: true. Los navegadores rechazarán esta combinación. Para permitir credenciales, debe reflejar el Origin específico de la solicitud en el encabezado de respuesta Access-Control-Allow-Origin.
¿Qué hace "Access-Control-Max-Age"?
Max-Age indica a los navegadores cuánto tiempo (en segundos) almacenar en caché la respuesta de preflight. Sin él, los navegadores envían un preflight OPTIONS antes de cada solicitud de origen cruzado, añadiendo latencia. Establecerlo en 86400 (24 horas) es común para APIs estables. Chrome lo limita a 7200 s, Firefox a 86400 s.
Mi verificación de CORS pasa pero el navegador sigue bloqueando la solicitud — ¿por qué?
Esta herramienta verifica los encabezados CORS a nivel del servidor, pero no puede simular todo el comportamiento del navegador. Problemas comunes: (1) La solicitud incluye encabezados no simples no listados en Access-Control-Allow-Headers, (2) Se envían credenciales pero el servidor devuelve origen comodín, (3) La respuesta incluye cookies con SameSite=None sin Secure, (4) Una redirección cambia el origen. Revise la pestaña Red de las DevTools del navegador para ver el error exacto.