🔒 Security

CORS Checker — проверить политику CORS

Бесплатная онлайн-проверка CORS-политики: Access-Control-Allow-Origin, методы, credentials. Обнаружение открытого CORS (wildcard *).

🔍 Что проверяет инструмент

Отправляет OPTIONS preflight-запрос с Origin от внешнего домена и анализирует CORS-заголовки ответа: Access-Control-Allow-Origin (какие домены разрешены), Allow-Methods (GET/POST/PUT/DELETE), Allow-Headers, Allow-Credentials и Max-Age.

📊 Как интерпретировать результат

Allow-Origin: * — самая опасная настройка: любой сайт может читать ответы вашего API. Allow-Credentials: true при Allow-Origin: * — нарушение стандарта, браузеры блокируют по спецификации. Нет CORS-заголовков — запросы из других доменов блокируются (это безопасно по умолчанию).

🛠 Как исправить проблему

Замените * на конкретный домен: `add_header Access-Control-Allow-Origin "https://app.example.com" always;`. Для нескольких доменов — проверяйте Origin в коде и устанавливайте заголовок динамически. Никогда не комбинируйте Allow-Origin: * с Allow-Credentials: true.

🚀 Полный технический аудит

Проверьте сайт по 445+ параметрам за 2-5 минут — безопасность, SEO, кибербезопасность и многое другое.

Запустить бесплатный аудит →