CORS Checker
Проверьте CORS-настройки сайта: какие origin разрешены, какие методы доступны, правильно ли настроен preflight.
Как работает CORS?
Preflight запрос — браузер отправляет OPTIONS запрос с заголовком Origin перед фактическим запросом.
Ответ сервера — если сервер отвечает с Access-Control-Allow-Origin, браузер разрешает запрос.
Блокировка — если сервер не отвечает или не разрешает origin, браузер блокирует ответ (но запрос всё равно уходит!).
About CORS Checker
Онлайн-проверка CORS политики. Access-Control-Allow-Origin, методы, заголовки. Диагностика проблем с cross-origin запросами из браузера.
Frequently asked questions
Cross-Origin Resource Sharing — механизм браузера, разрешающий запросы с другого домена. Сервер отправляет Access-Control-Allow-Origin. Без него fetch/XHR к другому домену блокируется.
Сервер не вернул нужный Access-Control заголовок или он не совпадает с origin. Проверьте ответ в Network. CORS Checker симулирует запрос и показывает заголовки.
Для «сложных» запросов (не GET/POST с простыми заголовками) браузер сначала отправляет OPTIONS. Сервер должен ответить с CORS заголовками. Preflight кэшируется.
Access-Control-Allow-Origin: * — только для публичных API без credentials. С credentials нужен конкретный origin. * и credentials несовместимы.
CORS — защита браузера. «Отключить» на сервере нельзя — можно только разрешить нужные origin. Не используйте * для API с авторизацией.
Related tools
Other useful reChecker tools