jquery.app
Espanol
EnglishDeutschFrancaisEspanol日本語Nederlands

Herramientas GitHub Pages

Gratis Generador de cabeceras CORS

Genera cabeceras HTTP CORS para cualquier configuración de origen, métodos y credenciales.

Cargando herramienta...

Qué es Generador de cabeceras CORS?

CORS (Cross-Origin Resource Sharing) es un mecanismo de seguridad del navegador que controla qué orígenes web pueden acceder a sus recursos. Cuando una aplicación de navegador intenta obtener datos de un dominio diferente, el navegador verifica los encabezados CORS en la respuesta. Sin encabezados CORS correctos, las solicitudes entre orígenes fallan con un error CORS en la consola.

Respuesta rápida

Los encabezados CORS controlan qué sitios web pueden acceder a los recursos de su servidor desde JavaScript del navegador. Use Access-Control-Allow-Origin para especificar orígenes permitidos, Access-Control-Allow-Methods para verbos HTTP y Access-Control-Allow-Credentials para autenticación basada en cookies. Nunca combine el origen comodín * con credenciales.

Last updated: 2026-05-28

Limitaciones

  • CORS solo protege solicitudes basadas en navegador. Las solicitudes de servidor a servidor, curl y llamadas directas a API no están sujetas a CORS — CORS es un mecanismo de aplicación del navegador, no una capa de seguridad del servidor.
  • Algunos navegadores antiguos (IE 10 y anteriores) tienen soporte CORS incompleto y pueden no manejar correctamente el almacenamiento en caché de preflight. Para aplicaciones web modernas, el soporte del navegador es universal.
  • Los encabezados CORS no protegen su API de DDoS, abuso o acceso no autorizado desde fuera del navegador. Use autenticación, limitación de velocidad y un WAF junto con CORS.

Sources:MDN Web Docs · W3C Specifications · jquery.app on GitHub

Cómo usar esta herramienta

  1. Ingrese los orígenes permitidos — use * para API públicas o dominios específicos para acceso restringido.
  2. Seleccione los métodos HTTP que admite su endpoint y los encabezados personalizados que los clientes pueden enviar.
  3. Active el soporte de credenciales con cuidado — los navegadores rechazan solicitudes que combinan orígenes * con credenciales.
  4. Elija su formato de implementación y copie la configuración de encabezados generada.

Para qué puedes usarla

  • Configurar una API pública que cualquier frontend pueda llamar desde cualquier dominio.
  • Configurar un endpoint de API privada al que solo su propio dominio de frontend pueda acceder, con autenticación basada en cookies.
  • Generar encabezados CORS para un Cloudflare Worker o backend Express.js con almacenamiento en caché de preflight correcto.

Casos de uso

Ejemplos prácticos

Ejemplo

API pública de solo lectura

Una API JSON pública sirve datos a cualquier frontend. Establezca el origen a *, permita solo GET y no habilite credenciales. Esta es la configuración CORS más simple y segura para datos públicos.

Ejemplo

API de administración privada con cookies de autenticación

Un panel de administración en admin.example.com llama a una API en api.example.com con cookies de sesión. Establezca el origen a admin.example.com, permita GET/POST/PUT/DELETE, habilite credenciales y nunca use * para el origen.

Errores comunes

  • Usar el origen comodín (*) junto con Access-Control-Allow-Credentials: true — los navegadores rechazan esta combinación.
  • Olvidar agregar Vary: Origin al servir diferentes encabezados CORS según el origen de la solicitud.
  • Establecer Access-Control-Max-Age por encima de 86400 — los navegadores lo limitan a 24 horas independientemente.

Verificación

  1. Abra la pestaña Network de las herramientas de desarrollo del navegador, haga una solicitud entre orígenes y verifique los encabezados de respuesta para Access-Control-Allow-Origin y relacionados.
  2. Pruebe con curl -H 'Origin: https://example.com' -I https://su-api.com/endpoint para simular una solicitud entre orígenes y verificar los encabezados Access-Control.

FAQ

Preguntas sobre Generador de cabeceras CORS

Por qué obtengo un error CORS incluso con los encabezados correctos?

Los errores CORS también pueden ser causados por problemas de red, certificados autofirmados durante el desarrollo, o el navegador bloqueando la solicitud antes de que llegue a su servidor. Revise la consola del navegador para ver el mensaje de error CORS específico y verifique que la solicitud preflight OPTIONS devuelva un estado 2xx. Algunos frameworks de servidor devuelven 404 o 500 para OPTIONS por defecto.

Puedo usar * para Access-Control-Allow-Origin con credenciales?

No. La especificación CORS prohíbe explícitamente combinar el origen comodín con credenciales. Los navegadores rechazan la respuesta. Si necesita admitir credenciales, enumere cada origen explícitamente o devuelva dinámicamente el origen de la solicitud después de validarlo contra una lista blanca.

Qué es una solicitud preflight CORS?

Un preflight es una solicitud OPTIONS automática que el navegador envía antes de la solicitud real cuando esta no es simple. Las solicitudes tienen preflight cuando usan métodos distintos a GET/HEAD/POST, incluyen encabezados personalizados como Authorization, o usan Content-Type diferente de application/x-www-form-urlencoded, multipart/form-data o text/plain. El preflight verifica si el servidor permite la solicitud prevista.

Herramientas relacionadas

Más herramientas github pages

Prueba también

Prueba también