Проверка CORS тестирует, будет ли кросс-ориджинный запрос с вашего сайта разрешен целевым сервером. Запускает предварительную проверку (OPTIONS) и фактический запрос, сообщает об ALLOWED/BLOCKED вердикте и разбирает Access-Control-Allow-Origin, Methods, Headers и Credentials, чтобы вы могли точно определить, почему запрос не работает.
«Заблокировано CORS» — одна из наиболее запутанных ошибок в разработке браузеров — браузер молча предотвращает запрос без возврата полезной информации вашему коду, и чтение необработанных заголовков CORS утомительно. Проверка CORS делает полную картину ясной. Введите целевой URL, метод HTTP и происхождение, который вы хотите протестировать (по умолчанию текущая страница). При необходимости перечислите любые пользовательские заголовки запроса, которые вы планируете отправить (content-type, authorization и т. д.). Инструмент затем запускает предварительный запрос OPTIONS (автоматически добавляется, когда запрос не является «простым»), за которым следует фактический запрос, и анализирует каждый релевантный заголовок ответа CORS. Затем он отображает разбивку pass/fail: правильно ли установлена Allow-Origin, включает ли Allow-Methods ваш метод, находятся ли ваши пользовательские заголовки в Allow-Headers, соответствует ли Allow-Credentials вашему флагу учетных данных? Финальный вердикт однозначен — ALLOWED или BLOCKED — и список для каждой проверки говорит вам ровно, что исправить на бэкэнде.
Обнаруживает, когда будет запущен предварительный запрос OPTIONS (non-simple методы или пользовательские заголовки) и запускает его автоматически с правильными заголовками Access-Control-Request-*.
Каждое правило CORS оценивается отдельно: соответствие происхождения, разрешенные методы, разрешенные заголовки, учетные данные. Вы видите ровно какая проверка не работает.
Большой зеленый баннер ALLOWED или красный баннер BLOCKED вверху — без чтения заголовков, чтобы выяснить ответ.
Показывает каждый заголовок ответа как из предварительной проверки, так и из фактических запросов, с выделенными заголовками CORS.
Претендуйте на любое происхождение, не только текущую страницу — полезно для тестирования того, как будут обработаны интеграции третьих лиц.
Зонд работает из фонового режима расширения, поэтому кросс-ориджинные выборки не блокируются собственной политикой CORS хост-страницы.
Когда ваш фронтенд показывает ошибку CORS в консоли, используйте инструмент, чтобы увидеть ровно какой заголовок бэкэнд отсутствует — намного быстрее, чем чтение разделов спецификации.
Перед отправкой нового общедоступного API протестируйте его с инструмента, чтобы подтвердить, что каждая ожидаемая комбинация происхождения, метода и заголовка работает.
При интеграции с API третьей стороны протестируйте из вашего происхождения с запланированными заголовками, чтобы подтвердить, что запрос пройдет.
Проверьте значение Access-Control-Max-Age, чтобы увидеть, как долго браузер будет кешировать результаты предварительной проверки — полезно при тестировании после изменений заголовка.
Запустите один и тот же тест CORS на URL разработки, постановки и производства, чтобы поймать неправильные конфигурации, зависящие от окружения, раньше, чем пользователи.
Щелкните значок CORS в панели DevSuite Pro. Откроется панель с вводом URL, метода, происхождения и заголовков.
Вставьте конечную точку API, которую хотите протестировать, и выберите метод HTTP (GET, POST, PUT, DELETE и т. д.).
Происхождение по умолчанию устанавливается на текущую страницу. Измените его при тестировании другого происхождения. Перечислите все пользовательские заголовки запроса, разделенные запятыми.
Инструмент запускает предварительную проверку (если требуется) и фактический запрос, затем отображает вердикт и проверки.
Если BLOCKED, список для каждой проверки говорит вам, какой заголовок отсутствует в ответе сервера. Исправьте заголовок бэкэнда и повторно проверьте.
Установите DevSuite Pro бесплатно и разблокируйте более 64 инструментов разработчика для вашего браузера.
