ZenovayTools

Verificador de CORS

Teste os cabeçalhos Cross-Origin Resource Sharing (CORS) para qualquer URL. Verifique se uma API ou recurso permite requisições do seu domínio.

Como Usar Verificador de CORS

  1. 1Digite a URL da API ou recurso que você deseja testar.
  2. 2Opcionalmente especifique o cabeçalho Origin para testar (padrão do nosso servidor).
  3. 3Veja todos os cabeçalhos de resposta CORS e se requisições entre origens são permitidas.
  4. 4Use o diagnóstico para corrigir configurações incorretas de CORS.
ZenovayAnalytics

Veja quem está no seu site agora mesmo.

  • Acompanhamento de visitantes em tempo real
  • Privacidade em primeiro lugar, sem banner de cookies
  • Configurado em dois minutos
Conheça o Zenovay

Ferramentas Relacionadas

Formatador e Validador de JSON
Formate, valide e embeleze dados JSON com destaque de sintaxe e detecção de erros.
Decodificador JWT
Decodifique e inspecione tokens JWT. Visualize cabeçalho, payload e verifique assinaturas.
Codificar/Decodificar Base64
Codifique texto para Base64 ou decodifique Base64 de volta para texto. Suporta dados UTF-8 e binários.
Encode/Decode de URL
Codifique ou decodifique componentes de URL. Trate caracteres especiais, strings de consulta e URLs completas.

Perguntas Frequentes

O que é CORS e por que importa?
Cross-Origin Resource Sharing (CORS) é um mecanismo de segurança do navegador que controla quais sites podem fazer solicitações para sua API ou servidor. Sem cabeçalhos CORS apropriados, os navegadores bloquearão solicitações de fetch/XHR em JavaScript de outros domínios. CORS mal configurado pode quebrar integrações legítimas ou expor sua API a acesso não autorizado.
O que este verificador CORS testa?
Ele envia uma solicitação OPTIONS preflight (e fallback GET) para sua URL com a origem especificada, depois inspeciona todos os cabeçalhos de resposta Access-Control-Allow-*. Ele verifica se a origem é permitida, quais métodos e cabeçalhos são permitidos, se as credenciais são suportadas e sinaliza problemas de segurança como conflitos de curinga + credenciais.
Qual é a diferença entre uma solicitação simples e um preflight?
Solicitações simples (GET/POST com cabeçalhos padrão) são enviadas diretamente. Solicitações preflight são solicitações OPTIONS enviadas pelos navegadores antes da solicitação real para verificar se o servidor permite a chamada cross-origin. Este verificador testa o caminho preflight, que é o que a maioria das APIs com cabeçalhos personalizados ou métodos não simples requerem.
Por que Access-Control-Allow-Origin: * é um problema de segurança?
Um curinga (*) permite que qualquer site leia as respostas do seu servidor. Para APIs públicas isso pode ser intencional, mas para APIs que lidam com dados autenticados significa que qualquer site malicioso poderia potencialmente acessar os dados dos seus usuários se o usuário visitá-lo. Use origens específicas como https://yourdomain.com.
Posso usar credenciais com uma origem curinga?
Não. A especificação CORS proíbe explicitamente combinar Access-Control-Allow-Origin: * com Access-Control-Allow-Credentials: true. Os navegadores rejeitarão esta combinação. Para permitir credenciais, você deve refletir a Origem da solicitação específica em seu cabeçalho de resposta Access-Control-Allow-Origin.
O que faz "Access-Control-Max-Age"?
Max-Age informa aos navegadores quanto tempo (em segundos) devem armazenar em cache a resposta do preflight. Sem isso, os navegadores enviam um preflight OPTIONS antes de cada solicitação cross-origin, adicionando latência. Defini-lo para 86400 (24 horas) é comum para APIs estáveis. Chrome o limita a 7200s, Firefox em 86400s.
Minha verificação CORS passa mas meu navegador ainda bloqueia a solicitação — por quê?
Essa ferramenta verifica cabeçalhos CORS em nível de servidor, mas não pode simular todo o comportamento do navegador. Problemas comuns: (1) A solicitação inclui cabeçalhos não simples não listados em Access-Control-Allow-Headers, (2) As credenciais são enviadas, mas o servidor retorna origem curinga, (3) A resposta inclui cookies definindo SameSite=None sem Secure, (4) Um redirecionamento altera a origem. Verifique a guia Rede do DevTools do navegador para o erro exato.