בודק CORS בודק אם בקשת cross-origin מהאתר שלך תאושר על ידי שרת היעד. מריץ את ה-preflight (OPTIONS) ואת הבקשה בפועל, מדווח על פסק דין של 'מותר' (ALLOWED) או 'נחסם' (BLOCKED), ומפרק לגורמים את Access-Control-Allow-Origin, שיטות (Methods), כותרות (Headers) והרשאות (Credentials) כדי שתוכל לאתר בדיוק מדוע בקשה נכשלת.
'נחסם על ידי CORS' ('Blocked by CORS') היא אחת השגיאות המבלבלות ביותר בפיתוח דפדפן - הדפדפן מונע את הבקשה בשקט מבלי להחזיר מידע שימושי לקוד שלך, וקריאת כותרות CORS גולמיות היא עבודה מתישה. בודק CORS מבהיר את התמונה המלאה. הזינו את כתובת ה-URL של היעד, את שיטת ה-HTTP ואת המקור (Origin) כפי שאתם רוצים לבדוק (ברירת המחדל היא הדף הנוכחי). ניתן לציין רשימה של כותרות בקשה מותאמות אישית שאתם מתכננים לשלוח (content-type, authorization וכו'). הכלי מריץ אז את בקשת ה-preflight מסוג OPTIONS (מתווספת אוטומטית כשהבקשה אינה 'פשוטה' - simple) ואחריה את הבקשה בפועל, ומפענח כל כותרת תגובת CORS רלוונטית. לאחר מכן הוא מציג פירוט עבר/נכשל: האם Allow-Origin מוגדר נכון, האם Allow-Methods כולל את השיטה שלך, האם הכותרות המותאמות אישית שלך נמצאות ב-Allow-Headers, האם Allow-Credentials תואם לדגל ההרשאות שלך? פסק הדין הסופי אינו משתמע לשתי פנים - ALLOWED (מותר) או BLOCKED (נחסם) - והרשימה לפי בדיקה אומרת לך בדיוק מה לתקן בצד השרת.
מזהה מתי בקשת preflight מסוג OPTIONS צריכה לרוץ (שיטות לא פשוטות או כותרות מותאמות אישית) ויורה אותה אוטומטית עם כותרות Access-Control-Request-* הנכונות.
כל כלל CORS נבדק בנפרד: התאמת מקור (origin match), שיטות מותרות, כותרות מותרות, הרשאות. אתם רואים בדיוק איזו בדיקה נכשלה.
באנר גדול ירוק ALLOWED או אדום BLOCKED בחלק העליון - אין צורך לקרוא כותרות כדי להבין את התשובה.
מציג כל כותרת תגובה גם מהבקשות בפועל וגם מה-preflight, עם הדגשה של כותרות ספציפיות ל-CORS.
העמד פנים שאתה כל מקור שהוא, לא רק הדף הנוכחי - שימושי לבדיקת אופן הטיפול בשילובים של צד שלישי.
הבדיקה פועלת מרקע התוסף כך ששליפות (fetches) של cross-origin אינן נחסמות על ידי מדיניות ה-CORS של הדף המארח עצמו.
כאשר החזית (Frontend) שלכם מציגה שגיאת CORS במסוף, השתמשו בכלי כדי לראות בדיוק איזו כותרת חסרה בצד השרת - הרבה יותר מהיר מקריאת מפרטים.
לפני שחרור API ציבורי חדש, בדקו אותו מהכלי כדי לוודא שכל שילוב צפוי של מקור, שיטה וכותרת עובד.
בעת שילוב עם API של צד שלישי, בדקו מהמקור שלכם עם הכותרות המתוכננות שלכם כדי לאשר שהבקשה תעבור.
בדקו את ערך ה-Access-Control-Max-Age כדי לראות כמה זמן הדפדפן ישמור במטמון תוצאות preflight - שימושי בעת בדיקה לאחר שינויי כותרות.
הריצו את אותה בדיקת CORS מול כתובות URL של dev, staging ו-prod כדי לתפוס תצורות שגויות ספציפיות לסביבה לפני שהמשתמשים יעשו זאת.
לחצו על סמל ה-CORS ב-DevSuite Pro. חלונית נפתחת עם קלטי URL, שיטה, מקור וכותרות.
הדביקו את נקודת הקצה (Endpoint) של ה-API שאתם רוצים לבדוק ובחרו בשיטת ה-HTTP (GET, POST, PUT, DELETE וכו').
מקור ברירת המחדל הוא הדף הנוכחי. שנו אותו אם אתם בודקים מקור שונה. פרטו כל כותרת בקשה מותאמת אישית מופרדת בפסיקים.
הכלי מריץ את ה-preflight (במקרה הצורך) ואת הבקשה בפועל, ואז מציג את פסק הדין והבדיקות.
אם נחסם (BLOCKED), הרשימה לפי בדיקה מראה מה חסר בתגובת השרת. תקנו את כותרת השרת ובדקו מחדש.
התקן את DevSuite Pro בחינם ופתח 64+ כלי פיתוח לדפדפן שלך.
