Posso usar * e credentials juntos?

Não. A spec fetch rejeita respostas que pareiam Access-Control-Allow-Origin: * com Access-Control-Allow-Credentials: true. Ou tira credentials, ou ecoa o Origin real da requisição server-side após validá-lo contra uma allow-list.

Por que a recomendação Vary: Origin?

Se você ecoa Origin no Allow-Origin, caches downstream devem variar sua resposta armazenada pelo cabeçalho Origin da requisição; senão podem servir a resposta CORS de um site pra requisição de outro site. Vary: Origin diz pros caches usarem aquele cabeçalho como chave.

Construtor de Cabeçalhos CORS

Rede

Constrói os cabeçalhos de resposta que um servidor precisa enviar pra satisfazer uma requisição cross-origin de um navegador. Inclui Allow-Origin, Allow-Methods, Allow-Headers, Expose-Headers, Allow-Credentials, Max-Age, e uma dica Vary: Origin. Sinaliza os foot-guns comuns: combinar * com credentials (navegadores bloqueiam), aceitar Origin: null (um atacante pode forjar), ou pedir pro navegador cachear o preflight por tempo irracionalmente longo.

—

Presets

Allow-OriginUse * pra assets públicos, uma URL específica pra chamadores confiáveis, ou ecoe o Origin da requisição server-side.

Allow-Methods

Allow-HeadersCabeçalhos que o navegador pode enviar. * só funciona sem credentials.Expose-HeadersCabeçalhos de resposta que o navegador expõe ao JS além da safelist.

Allow-CredentialsVary: OriginMax-Age (s)

Cabeçalhos de resposta

Access-Control-Allow-Origin: https://example.com
Access-Control-Allow-Methods: GET, POST
Access-Control-Allow-Headers: Content-Type, Authorization
Access-Control-Allow-Credentials: true
Access-Control-Max-Age: 600
Vary: Origin

Aplique estes na resposta do preflight OPTIONS *e* da requisição real. Caches edge precisam de Vary: Origin se você ecoa Origin.

Como usar

Comece de um preset que combine com seu cenário.
Defina a origem (* pra totalmente público, ou ecoe o Origin da requisição server-side pra APIs com credentials).
Escolha os métodos e cabeçalhos que seu endpoint realmente aceita — mais estreito é mais seguro.
Copie os cabeçalhos pro seu servidor, edge worker, ou middleware do framework.

Perguntas frequentes

Posso usar * e credentials juntos?: Não. A spec fetch rejeita respostas que pareiam Access-Control-Allow-Origin: * com Access-Control-Allow-Credentials: true. Ou tira credentials, ou ecoa o Origin real da requisição server-side após validá-lo contra uma allow-list.
Por que a recomendação Vary: Origin?: Se você ecoa Origin no Allow-Origin, caches downstream devem variar sua resposta armazenada pelo cabeçalho Origin da requisição; senão podem servir a resposta CORS de um site pra requisição de outro site. Vary: Origin diz pros caches usarem aquele cabeçalho como chave.

Ferramentas relacionadas

Inspetor de Endereço IP

Digite um endereço IPv4 ou IPv6 e veja sua classe, scope (privado / público / loopback / link-local), valor decimal, binário, notação reverse-DNS e CIDR /32.

Rede00

Referência de Portas

Cheat sheet pesquisável de ~60 portas TCP / UDP padrão — de 22 (SSH) e 80 (HTTP) até 6379 (Redis) e 27017 (MongoDB).

Rede00

Referência de Registros DNS

Cheat sheet pesquisável de tipos de registro DNS — A, AAAA, CNAME, MX, TXT, NS, SOA, PTR, SRV, CAA, DNSSEC, SVCB / HTTPS — com exemplos.

Rede00

Calculadora de Subrede (IPv4 / CIDR)

Parseia CIDR IPv4 em endereço de rede, broadcast, netmask, wildcard, faixa de hosts e classe. Mostra desdobramento binário e status privado/público.

Rede00

Parser de User Agent

Parseia string User-Agent em navegador, engine, OS, dispositivo e CPU. Detecta 20+ bots incluindo GPTBot, ClaudeBot, PerplexityBot.

Rede00

Referência de Códigos de Status HTTP

Lista pesquisável de todos os códigos HTTP (1xx-5xx) com resumo, RFC, quando usar e armadilhas comuns.

Rede00