📡 CORS 跨域检测
填写接口地址,用当前页面的真实环境发起请求,一键生成跨域检测报告。
自定义请求头非简单头会触发预检
请求体(可选)GET/HEAD 会忽略
检测报告卡片式展示 · 可复制纯文本
点击「开始检测」生成报告
预检判断、实测结果与处理建议
适用场景
前端联调 REST/GraphQL 接口时出现「已被 CORS 策略阻止」、预检 OPTIONS 404、带 Cookie 仍失败、HTTPS 页面请求 HTTP 接口被拦等问题。本工具帮你区分是浏览器 CORS、混合内容还是纯网络/证书问题。
推荐使用流程
- 填写与前端代码一致的 URL、方法、自定义 Header(如
Authorization、Content-Type: application/json)。 - 查看「预检预测」:若会触发 OPTIONS,先在服务端保证 OPTIONS 返回正确的
Access-Control-Allow-*。 - 点击检测,阅读报告中的 CORS 响应头;若失败,对照「服务端配置建议」修改网关/Nginx/应用框架。
- 用报告末尾的 curl 在服务器或本机终端验证接口本身是否可达(curl 不经过浏览器 CORS)。
结果怎么看
- fetch 成功且能读到 ACAO:从浏览器视角跨域已放行(仍需核对状态码与业务逻辑)。
- Failed to fetch:多为 CORS 未配置、预检失败、证书错误、目标不可达或被 CSP
connect-src限制;DevTools Network 里对比 OPTIONS 与实际请求。 - 凭证 + Allow-Origin: *:浏览器会拒绝,必须返回具体 Origin 并设置
Allow-Credentials: true。
局限说明
检测请求由你的浏览器直接发往目标域,目标站必须允许来自本页 Origin 的跨域(或你正在测同源接口)。本工具不能代替服务端日志,也无法在 CORS 失败时读取被隐藏的响应体。需要整理 Header 或生成 fetch 代码时,可使用 HTTP Header 解析器、curl 转 Fetch、HTTP 状态码。
隐私说明
报告在本地生成;探测不向 eEtools 服务器上传 URL。请勿对生产环境未授权接口做高频压测。详见 隐私政策。