CORS Checker — проверить политику CORS
Бесплатная онлайн-проверка CORS-политики: Access-Control-Allow-Origin, методы, credentials. Обнаружение открытого CORS (wildcard *).
🔍 Что проверяет инструмент
Отправляет OPTIONS preflight-запрос с Origin от внешнего домена и анализирует CORS-заголовки ответа: Access-Control-Allow-Origin (какие домены разрешены), Allow-Methods (GET/POST/PUT/DELETE), Allow-Headers, Allow-Credentials и Max-Age.
📊 Как интерпретировать результат
Allow-Origin: * — самая опасная настройка: любой сайт может читать ответы вашего API. Allow-Credentials: true при Allow-Origin: * — нарушение стандарта, браузеры блокируют по спецификации. Нет CORS-заголовков — запросы из других доменов блокируются (это безопасно по умолчанию).
🛠 Как исправить проблему
Замените * на конкретный домен: `add_header Access-Control-Allow-Origin "https://app.example.com" always;`. Для нескольких доменов — проверяйте Origin в коде и устанавливайте заголовок динамически. Никогда не комбинируйте Allow-Origin: * с Allow-Credentials: true.
🚀 Полный технический аудит
Проверьте сайт по 445+ параметрам за 2-5 минут — безопасность, SEO, кибербезопасность и многое другое.
Запустить бесплатный аудит →