O Verificador de CORS testa se um pedido de origem cruzada do seu site seria permitido pelo servidor de destino. Executa o preflight (OPTIONS) e o pedido real, reporta um veredicto PERMITIDO/BLOQUEADO e detalha os cabeçalhos Access-Control-Allow-Origin, Methods, Headers e Credentials para que possa identificar exatamente porque um pedido está a falhar.
"Bloqueado por CORS" é um dos erros mais confusos no desenvolvimento para browser — o browser impede silenciosamente o pedido sem devolver informação útil ao código, e ler cabeçalhos CORS brutos é tedioso. O Verificador de CORS torna toda a situação clara. Introduza o URL de destino, o método HTTP e a origem que pretende testar (por defeito, a página atual). Opcionalmente, liste quaisquer cabeçalhos de pedido personalizados que planeia enviar (content-type, authorization, etc.). A ferramenta executa então o pedido preflight OPTIONS (adicionado automaticamente quando o pedido não é "simples"), seguido do pedido real, e analisa cada cabeçalho de resposta CORS relevante. De seguida, apresenta uma análise de aprovação/reprovação: o Allow-Origin está definido corretamente, o Allow-Methods inclui o seu método, os seus cabeçalhos personalizados estão em Allow-Headers, o Allow-Credentials corresponde ao seu indicador de credenciais? O veredicto final é inequívoco — PERMITIDO ou BLOQUEADO — e a lista por verificação indica-lhe exatamente o que corrigir no backend.
Deteta quando um pedido preflight OPTIONS seria executado (métodos não simples ou cabeçalhos personalizados) e dispara-o automaticamente com os cabeçalhos Access-Control-Request-* corretos.
Cada regra CORS é avaliada individualmente: correspondência de origem, métodos permitidos, cabeçalhos permitidos, credenciais. Vê exatamente qual a verificação que falha.
Grande banner verde PERMITIDO ou vermelho BLOQUEADO no topo — sem necessidade de ler cabeçalhos para descobrir a resposta.
Mostra todos os cabeçalhos de resposta tanto do preflight como dos pedidos reais, com os cabeçalhos específicos de CORS em destaque.
Simule qualquer origem, não apenas a página atual — útil para testar como integrações de terceiros seriam tratadas.
A sonda é executada a partir do background da extensão, pelo que as obtenções de origem cruzada não são bloqueadas pela política CORS da própria página anfitriã.
Quando o seu frontend mostra um erro CORS na consola, use a ferramenta para ver exatamente qual o cabeçalho que o backend está a omitir — muito mais rápido do que ler secções da especificação.
Antes de lançar uma nova API pública, teste-a a partir da ferramenta para confirmar que cada combinação de origem, método e cabeçalho esperada funciona.
Ao integrar com uma API de terceiros, teste a partir da sua origem com os seus cabeçalhos planeados para confirmar que o pedido passará.
Verifique o valor de Access-Control-Max-Age para ver quanto tempo o browser irá armazenar os resultados de preflight em cache — útil ao testar após alterações de cabeçalhos.
Execute o mesmo teste CORS nos URLs de desenvolvimento, staging e produção para detetar configurações incorretas específicas de ambiente antes de os utilizadores o fazerem.
Clique no ícone CORS no painel do DevSuite Pro. Um painel abre-se com campos para URL, método, origem e cabeçalhos.
Cole o endpoint da API que pretende testar e escolha o método HTTP (GET, POST, PUT, DELETE, etc.).
A origem assume por defeito a página atual. Altere-a se estiver a testar uma origem diferente. Liste quaisquer cabeçalhos de pedido personalizados separados por vírgulas.
A ferramenta executa o preflight (se necessário) e o pedido real, e depois apresenta o veredicto e as verificações.
Se BLOQUEADO, a lista por verificação indica o que está em falta na resposta do servidor. Corrija o cabeçalho do backend e volte a testar.
Instale o DevSuite Pro gratuitamente e desbloqueie mais de 64 ferramentas de desenvolvedor para seu navegador.
