El Probador de CORS verifica si una solicitud de origen cruzado desde tu sitio sería permitida por el servidor de destino. Ejecuta el pre-vuelo (OPTIONS) y la solicitud real, informa un veredicto de PERMITIDO/BLOQUEADO y desglosa las cabeceras Access-Control-Allow-Origin, Métodos, Cabeceras y Credenciales para que puedas identificar exactamente por qué falla una solicitud.
"Bloqueado por CORS" es uno de los errores más confusos en el desarrollo del navegador: el navegador impide silenciosamente la solicitud sin devolver información útil a tu código, y leer las cabeceras CORS en bruto es tedioso. El Probador de CORS aclara todo el panorama. Ingresa la URL de destino, el método HTTP y el origen que deseas probar (por defecto, la página actual). Opcionalmente, enumera cualquier cabecera de solicitud personalizada que planees enviar (content-type, authorization, etc.). La herramienta ejecuta la solicitud OPTIONS de pre-vuelo (añadida automáticamente cuando la solicitud no es "simple") seguida de la solicitud real, y analiza cada cabecera de respuesta CORS relevante. Luego renderiza un desglose de aprobado/reprobado: ¿está Allow-Origin configurado correctamente?, ¿incluye Allow-Methods tu método?, ¿están tus cabeceras personalizadas en Allow-Headers?, ¿coincide Allow-Credentials con tu flag de credenciales? El veredicto final es inequívoco — PERMITIDO o BLOQUEADO — y la lista por verificación te dice exactamente qué corregir en el backend.
Detecta cuándo se ejecutaría una solicitud OPTIONS de pre-vuelo (métodos no simples o cabeceras personalizadas) y la dispara automáticamente con las cabeceras Access-Control-Request-* correctas.
Cada regla CORS se evalúa individualmente: coincidencia de origen, métodos permitidos, cabeceras permitidas, credenciales. Ves exactamente qué verificación falla.
Un banner grande en verde PERMITIDO o en rojo BLOQUEADO en la parte superior — sin tener que leer cabeceras para descifrar la respuesta.
Muestra cada cabecera de respuesta tanto de la solicitud de pre-vuelo como de la real, con las cabeceras específicas de CORS resaltadas.
Simula ser cualquier origen, no solo la página actual — útil para probar cómo se manejarían las integraciones de terceros.
La sonda se ejecuta desde el segundo plano de la extensión para que las búsquedas de origen cruzado no se vean bloqueadas por la política CORS de la propia página anfitriona.
Cuando tu frontend muestra un error de CORS en la consola, usa la herramienta para ver exactamente qué cabecera le falta al backend — mucho más rápido que leer secciones de la especificación.
Antes de lanzar una nueva API pública, pruébala desde la herramienta para confirmar que cada combinación esperada de origen, método y cabecera funciona.
Al integrarte con una API de terceros, prueba desde tu origen con tus cabeceras planificadas para confirmar que la solicitud se procesará.
Verifica el valor de Access-Control-Max-Age para ver cuánto tiempo almacenará el navegador los resultados del pre-vuelo — útil cuando se prueba después de cambios en las cabeceras.
Ejecuta la misma prueba de CORS contra las URLs de dev, staging y prod para detectar configuraciones erróneas específicas del entorno antes que los usuarios.
Haz clic en el ícono de CORS en el dock de DevSuite Pro. Se abre un panel con entradas para URL, método, origen y cabeceras.
Pega el endpoint de la API que deseas probar y elige el método HTTP (GET, POST, PUT, DELETE, etc.).
El origen por defecto es la página actual. Cámbialo si estás probando un origen diferente. Enumera cualquier cabecera de solicitud personalizada separada por comas.
La herramienta ejecuta el pre-vuelo (si es necesario) y la solicitud real, luego renderiza el veredicto y las verificaciones.
Si está BLOQUEADO, la lista por verificación te dice qué falta en la respuesta del servidor. Corrige la cabecera del backend y vuelve a probar.
Instala DevSuite Pro gratis y desbloquea más de 39 herramientas de desarrollador para tu navegador.
