Was ist ein CORS-Header-Tester?
Ein CORS-Header-Tester (Cross-Origin Resource Sharing) hilft dir zu überprüfen, ob eine Browser-Anfrage von einem Ursprung durch die CORS-Konfiguration eines Servers zulässig wäre. CORS ist ein Sicherheitsmechanismus, der es Servern ermöglicht, anzugeben, welche Ursprünge auf ihre Ressourcen zugreifen können, und damit unbefugte Cross-Domain-Anfragen verhindert.
Wie du diesen CORS-Tester verwendest
- Gib den Anfrage-Ursprung ein (die Domain, die die Anfrage stellt).
- Gib die HTTP-Methode und alle benutzerdefinierten Header an.
- Konfiguriere die CORS-Einstellungen des Servers (zulässige Ursprünge, Methoden, Header).
- Klicke auf "CORS testen", um Pass/Fail-Ergebnisse für jede Prüfung zu sehen.
Wichtige CORS-Konzepte
Einfache Anfragen (GET, HEAD, POST mit Standard-Headern) können keinen Preflight auslösen. Komplexere Anfragen senden zunächst eine OPTIONS-Preflight. Der Server muss mit geeigneten Access-Control-Allow-*-Headern antworten. Die Verwendung von * für Allow-Origin erlaubt jeden Ursprung, disallowiert aber Anmeldedaten.
Häufig gestellte Fragen
Was ist eine Preflight-Anfrage?
Ein Preflight ist eine OPTIONS-Anfrage, die der Browser vor der eigentlichen Anfrage sendet, wenn nicht-einfache Methoden (PUT, DELETE) oder benutzerdefinierte Header verwendet werden. Der Server muss mit den richtigen CORS-Headern antworten, damit die eigentliche Anfrage fortgesetzt werden kann.
Warum schlägt meine CORS-Anfrage fehl, auch wenn der Ursprung korrekt ist?
Häufige Ursachen sind fehlende zulässige Methoden, fehlende zulässige Header (besonders bei benutzerdefinierten Headern wie Authorization) oder der Server bearbeitet OPTIONS-Preflight-Anfragen nicht korrekt.