ZenovayTools

Vérificateur CORS

Testez les en-têtes Cross-Origin Resource Sharing (CORS) pour n'importe quelle URL. Vérifiez si une API ou une ressource autorise les demandes de votre domaine.

Comment utiliser Vérificateur CORS

  1. 1Entrez l'URL de l'API ou de la ressource que vous souhaitez tester.
  2. 2Spécifiez éventuellement l'en-tête Origin à tester (par défaut, notre serveur).
  3. 3Consultez tous les en-têtes de réponse CORS et si les demandes cross-origin sont autorisées.
  4. 4Utilisez les diagnostics pour corriger les erreurs de configuration CORS.
ZenovayAnalytics

Voyez qui est sur votre site en ce moment.

  • Suivi des visiteurs en temps réel
  • Vie privée d'abord, sans bandeau cookies
  • Installé en deux minutes
Découvrir Zenovay

Outils connexes

Formateur et Validateur JSON
Formatez, validez et embellissez les données JSON avec la coloration syntaxique et la détection d'erreurs.
Décodeur JWT
Décodez et inspectez les jetons JWT. Consultez l'en-tête, la charge utile et vérifiez les signatures.
Encodeur/Décodeur Base64
Encodez du texte en Base64 ou décodez Base64 en texte. Supporte UTF-8 et les données binaires.
Encodage / Décodage URL
Encodez ou décodez les composants URL. Traitez les caractères spéciaux, les chaînes de requête et les URL complètes.

Questions fréquemment posées

Qu'est-ce que CORS et pourquoi est-ce important ?
Cross-Origin Resource Sharing (CORS) est un mécanisme de sécurité du navigateur qui contrôle quels sites Web peuvent effectuer des requêtes vers votre API ou serveur. Sans les en-têtes CORS appropriés, les navigateurs bloqueront les requêtes fetch/XHR JavaScript d'autres domaines. Les CORS mal configurés peuvent soit casser les intégrations légitimes, soit exposer votre API à un accès non autorisé.
Que teste ce vérificateur CORS ?
Il envoie une requête OPTIONS de pré-vol (et un fallback GET) à votre URL avec l'origine spécifiée, puis inspecte tous les en-têtes de réponse Access-Control-Allow-*. Il vérifie si l'origine est autorisée, quelles méthodes et en-têtes sont autorisés, si les credentials sont supportés et signale les problèmes de sécurité comme les conflits wildcard+credentials.
Quelle est la différence entre une requête simple et un pré-vol ?
Les requêtes simples (GET/POST avec en-têtes standard) sont envoyées directement. Les requêtes de pré-vol sont des requêtes OPTIONS envoyées par les navigateurs avant la vraie requête pour vérifier si le serveur autorise l'appel cross-origin. Ce vérificateur teste le chemin du pré-vol, ce que la plupart des API avec des en-têtes personnalisés ou des méthodes non simples exigent.
Pourquoi Access-Control-Allow-Origin: * est-il un problème de sécurité ?
Un wildcard (*) permet à n'importe quel site Web de lire les réponses de votre serveur. Pour les API publiques, cela peut être intentionnel, mais pour les API manipulant des données authentifiées, cela signifie que n'importe quel site malveillant pourrait potentiellement accéder aux données de vos utilisateurs si l'utilisateur le visite. Utilisez plutôt des origines spécifiques comme https://votredomaine.com.
Puis-je utiliser des credentials avec une origine wildcard ?
Non. La spécification CORS interdit explicitement de combiner Access-Control-Allow-Origin: * avec Access-Control-Allow-Credentials: true. Les navigateurs rejetteront cette combinaison. Pour autoriser les credentials, vous devez refléter l'origine de requête spécifique dans votre en-tête de réponse Access-Control-Allow-Origin.
Que fait « Access-Control-Max-Age » ?
Max-Age indique aux navigateurs combien de temps (en secondes) mettre en cache la réponse de pré-vol. Sans lui, les navigateurs envoient un pré-vol OPTIONS avant chaque requête cross-origin, ajoutant une latence. Le définir sur 86400 (24 heures) est courant pour les API stables. Chrome le plafonne à 7200 s, Firefox à 86400 s.
Ma vérification CORS réussit mais mon navigateur bloque quand même la requête — pourquoi ?
Cet outil vérifie les en-têtes CORS au niveau du serveur mais ne peut pas simuler tous les comportements du navigateur. Problèmes courants : (1) La requête inclut des en-têtes non simples non listés dans Access-Control-Allow-Headers, (2) Les credentials sont envoyés mais le serveur retourne l'origine wildcard, (3) La réponse inclut des cookies définissant SameSite=None sans Secure, (4) Une redirection change l'origine. Vérifiez l'onglet Réseau de DevTools du navigateur pour l'erreur exacte.