Qu'est-ce qu'un testeur d'en-têtes CORS ?
Un testeur d'en-têtes CORS (Cross-Origin Resource Sharing) vous aide à vérifier si une requête de navigateur d'une origine serait autorisée par la configuration CORS d'un serveur. CORS est un mécanisme de sécurité qui permet aux serveurs de spécifier quelles origines peuvent accéder à leurs ressources, empêchant les requêtes non autorisées entre domaines.
Comment utiliser ce testeur CORS
- Entrez l'origine de la requête (le domaine qui fait la requête).
- Spécifiez la méthode HTTP et les en-têtes personnalisés.
- Configurez les paramètres CORS du serveur (origines, méthodes, en-têtes autorisés).
- Cliquez sur « Tester CORS » pour voir les résultats de passage/échec pour chaque vérification.
Concepts CORS clés
Les requêtes simples (GET, HEAD, POST avec en-têtes standard) peuvent ne pas déclencher un contrôle préalable. Les requêtes non simples envoient d'abord un contrôle préalable OPTIONS. Le serveur doit répondre avec les en-têtes Access-Control-Allow-* appropriés. Utiliser * pour Allow-Origin permet n'importe quelle origine mais désactive les identifiants.
Questions fréquemment posées
Qu'est-ce qu'une requête préalable ?
Une requête préalable est une requête OPTIONS que le navigateur envoie avant la requête réelle lors de l'utilisation de méthodes non simples (PUT, DELETE) ou d'en-têtes personnalisés. Le serveur doit répondre avec les en-têtes CORS corrects pour que la requête réelle puisse continuer.
Pourquoi ma requête CORS échoue-t-elle même avec l'origine correcte ?
Les causes courantes incluent les méthodes autorisées manquantes, les en-têtes autorisés manquants (en particulier pour les en-têtes personnalisés comme Authorization), ou le serveur ne gérant pas correctement les requêtes préalables OPTIONS.