CORS 头构建器
网络
构建服务器为满足浏览器跨源请求需要发送的响应头。包含 Allow-Origin、Allow-Methods、Allow-Headers、Expose-Headers、Allow-Credentials、Max-Age 以及 Vary: Origin 提示。标记常见雷区:把 * 与 credentials 一起使用(浏览器会拒绝)、接受 Origin: null(攻击者可伪造)、或让浏览器把预检缓存得过久。
—
预设
Allow-Methods
响应头
Access-Control-Allow-Origin: https://example.com Access-Control-Allow-Methods: GET, POST Access-Control-Allow-Headers: Content-Type, Authorization Access-Control-Allow-Credentials: true Access-Control-Max-Age: 600 Vary: Origin
对预检 OPTIONS 与实际请求的响应都应用这些。回传 Origin 时,边缘缓存需要 Vary: Origin。
使用方法
- 从与你场景匹配的预设开始。
- 设置 origin(公开为 *,凭证 API 应在服务端回传请求的 Origin)。
- 只选择你的端点实际接受的方法与头 — 越收紧越安全。
- 把这些头复制到你的服务器、边缘 worker 或框架中间件中。
常见问题
- 可以同时使用 * 与 credentials 吗?
- 不行。fetch 规范会拒绝同时含有 Access-Control-Allow-Origin: * 与 Access-Control-Allow-Credentials: true 的响应。要么去掉 credentials,要么在服务端基于白名单验证请求 Origin 后再回传。
- 为什么推荐 Vary: Origin?
- 如果你把 Origin 回传到 Allow-Origin,下游缓存必须按请求的 Origin 头来区分存储的响应;否则可能把一个站点的 CORS 响应提供给另一个站点的请求。Vary: Origin 告诉缓存按该头作为键。
相关工具
IP 地址检查器
输入 IPv4 或 IPv6 地址,查看其类、scope(私有 / 公共 / 回环 / 链路本地)、十进制值、二进制、反向 DNS 表示以及 /32 CIDR。
网络00
端口号参考
约 60 个标准 TCP / UDP 端口号的可搜索速查表 — 从 22 (SSH)、80 (HTTP) 到 6379 (Redis)、27017 (MongoDB)。
网络00
DNS 记录参考
可搜索的 DNS 记录类型速查表 — A、AAAA、CNAME、MX、TXT、NS、SOA、PTR、SRV、CAA、DNSSEC、SVCB / HTTPS — 含示例。
网络00
子网计算器(IPv4 / CIDR)
解析 IPv4 CIDR:网络地址、广播、子网掩码、通配符、主机范围、地址类。附二进制细节与公网/私网判定。
网络00
User Agent 解析器
把 User-Agent 字符串解析为浏览器、引擎、操作系统、设备、CPU。识别 20+ 种爬虫,含 GPTBot、ClaudeBot、PerplexityBot。
网络00
HTTP 状态码参考
可搜索的全部 HTTP 状态码(1xx-5xx)参考 — 含概要、RFC、使用时机与常见陷阱。
网络00