Современные веб-приложения всё чаще используют CORS (Cross-Origin Resource Sharing) — механизм, который позволяет контролировать доступ к ресурсам с других доменов. Если ваш сайт обращается к API, загружает шрифты, скрипты или изображения с внешнего источника, неверная настройка CORS может привести к блокировке запросов и ошибкам в консоли браузера. Наш CORS Checker — это бесплатная онлайн проверка CORS-политики, которая позволяет быстро проанализировать заголовки Access-Control-Allow-Origin, разрешённые методы, заголовки и preflight-ответ вашего сервера. Инструмент работает на 101ip.ru и не требует установки — просто введите URL и получите полный отчёт.
Проверка CORS (Cross-Origin Resource Sharing) — это процесс анализа HTTP-ответов сервера на кросс-доменные запросы. Чтобы начать, откройте страницу проверки CORS-политики и введите адрес интересующего вас сайта в поле ввода. Нажмите кнопку «Проверить» — сервис выполнит несколько тестовых запросов, включая preflight-запрос (OPTIONS) и основные GET/POST-запросы. В результатах вы увидите:
* или конкретный URL);Инструмент также показывает статус-код ответа (200, 403, 500 и т.д.) и полные заголовки, чтобы вы могли быстро выявить проблему. Если сервер не возвращает необходимые CORS-заголовки, в отчёте появится соответствующее предупреждение.
Ошибки CORS — одна из самых частых проблем при интеграции сторонних API, загрузке шрифтов через CDN или создании SPA-приложений (React, Vue, Angular). Без корректной политики Access-Control-Allow-Origin браузер блокирует запросы, показывая в консоли «No 'Access-Control-Allow-Origin' header is present on the requested resource». Это может парализовать работу интернет-магазина, личного кабинета или любого сервиса, использующего кросс-доменные вызовы.
Наш CORS Checker помогает разработчикам, системным администраторам и SEO-специалистам:
* для ресурсов, содержащих конфиденциальные данные.Регулярная проверка CORS-политики особенно важна после обновления серверного ПО, смены хостинга или подключения нового внешнего API. Тестирование занимает всего несколько секунд и не требует глубоких технических знаний.
Рассмотрим несколько типовых сценариев, когда проверка CORS-заголовков онлайн может быть полезна:
1. Разработка фронтенда. Вы создаёте одностраничное приложение на JavaScript, которое обращается к серверу на другом домене. Если сервер не настроен на CORS, браузер отклонит запрос. CORS Checker покажет, какие заголовки отсутствуют, и вы сможете оперативно исправить конфигурацию сервера.
2. Настройка CDN или внешнего хранилища. При загрузке шрифтов, изображений или скриптов с Amazon S3, Cloudflare R2 или другого облачного сервиса требуется установить CORS-правила. Проверка поможет убедиться, что конфигурация bucket разрешает доступ с вашего домена.
3. Аудит безопасности. Открытая CORS-политика ( Access-Control-Allow-Origin: * ) может быть рискованной для API с персональными данными. Инструмент подсветит, если ваш сайт разрешает доступ всем доменам, и вы сможете сузить список разрешённых источников.
4. Интеграция сторонних сервисов. Подключая виджеты (чат, платёжную форму, аналитику) с других доменов, важно, чтобы они корректно работали в вашем интерфейсе. CORS Checker даёт понимание, поддерживает ли сервер нужные заголовки.
После выполнения теста на странице проверки CORS-политики вы увидите детальную таблицу с заголовками ответа. Рассмотрим основные значения:
*.Если сервер не возвращает ни одного CORS-заголовка, инструмент отобразит сообщение «CORS headers not detected» — это значит, что ресурс не настроен для кросс-доменного доступа, и браузер заблокирует запросы.
Это означает, что сервер не возвращает заголовки Access-Control-Allow-Origin и другие CORS-заголовки. Для исправления необходимо настроить серверное ПО (Nginx, Apache, IIS или код приложения) на добавление соответствующих заголовков. Например, в Nginx можно добавить директиву add_header Access-Control-Allow-Origin *;. После изменения конфигурации повторите проверку на 101ip.ru, чтобы убедиться, что заголовки появились.
Preflight-запрос (OPTIONS) используется браузером для проверки разрешённых методов и заголовков перед основным запросом. Если сервер не отвечает на OPTIONS-запрос или возвращает ошибку (например, 403 или 500), CORS Checker сообщит об этом. Решение — убедиться, что сервер обрабатывает OPTIONS-запросы и возвращает правильные заголовки Access-Control-Allow-Methods и Access-Control-Allow-Headers. Часто проблема возникает, если сервер не настроен на приём запросов с методом OPTIONS.
Для этого посмотрите в результатах CORS Checker значение заголовка Access-Control-Allow-Credentials. Если он равен true, сервер поддерживает отправку кук и авторизационных данных. Обратите внимание: при этом Access-Control-Allow-Origin не может быть звёздочкой (*) — должен быть указан конкретный origin. Если заголовок отсутствует или равен false, куки передаваться не будут. Для включения этой возможности настройте сервер соответствующим образом.
Для более глубокого анализа безопасности и производительности вашего сайта мы рекомендуем другие бесплатные инструменты 101ip.ru: