CORS 헤더 빌더
네트워크
브라우저 크로스-오리진 요청 만족을 위해 서버가 보낼 응답 헤더 빌드. Allow-Origin·Allow-Methods·Allow-Headers·Expose-Headers·Allow-Credentials·Max-Age·Vary: Origin 힌트 포함. 흔한 함정 플래그: *와 credentials 조합(브라우저 차단), Origin: null 수용(공격자 위조 가능), 비현실적으로 긴 preflight 캐시.
Access-Control-Allow-Origin: https://example.com Access-Control-Allow-Methods: GET, POST Access-Control-Allow-Headers: Content-Type, Authorization Access-Control-Allow-Credentials: true Access-Control-Max-Age: 600 Vary: Origin
preflight OPTIONS와 실제 요청 응답 모두에 적용. Origin 에코 시 엣지 캐시엔 Vary: Origin 필요.
사용법
- 시나리오에 맞는 프리셋에서 시작.
- 오리진 설정(완전 공개는 *, credential API는 서버 측에서 요청 Origin 에코).
- 엔드포인트가 실제 받는 메서드·헤더만 선택 — 좁을수록 안전.
- 서버·엣지 워커·프레임워크 미들웨어에 헤더 복사.
자주 묻는 질문
- *와 credentials 같이 쓸 수 있음?
- 안 됨. fetch 스펙은 Access-Control-Allow-Origin: *와 Access-Control-Allow-Credentials: true 페어링한 응답 거부. credentials 빼거나, 허용 목록 검증 후 실제 요청 Origin을 서버 측에서 에코.
- Vary: Origin 권장 이유?
- Origin을 Allow-Origin에 에코하면, 하위 캐시는 저장된 응답을 요청의 Origin 헤더로 키잉해야 함; 아니면 한 사이트의 CORS 응답이 다른 사이트 요청에 서빙될 수 있음. Vary: Origin이 캐시에 해당 헤더로 키잉하라고 알림.
관련 도구
IP 주소 분석
IPv4 또는 IPv6 입력 → 클래스·범위(사설·공인·loopback·link-local)·10진수·2진수·reverse DNS·/32 CIDR 표시.
포트 번호 참조
약 60개 표준 TCP / UDP 포트 번호 검색 가능한 치트시트 — 22(SSH)·80(HTTP)·6379(Redis)·27017(MongoDB) 등.
DNS 레코드 참조
DNS 레코드 타입 검색 가능한 치트시트 — A·AAAA·CNAME·MX·TXT·NS·SOA·PTR·SRV·CAA·DNSSEC·SVCB / HTTPS — 예시 포함.
서브넷 계산기 (IPv4 / CIDR)
IPv4 CIDR을 네트워크 주소·브로드캐스트·넷마스크·와일드카드·호스트 범위·클래스로 파싱. 이진 분석과 사설/공인 상태 표시.
User Agent 파서
User-Agent 문자열을 브라우저·엔진·OS·디바이스·CPU로 파싱. GPTBot·ClaudeBot·PerplexityBot 포함 20+ 봇 감지.
HTTP 상태 코드 레퍼런스
1xx-5xx 모든 HTTP 상태 코드 검색 — 요약·RFC·사용 시점·흔한 함정 포함.