Outils GitHub Pages

Gratuit Générateur d'en-têtes CORS

Générez des en-têtes HTTP CORS pour toute configuration d'origine, méthode et credentials.

Chargement de l'outil...

Qu'est-ce que Générateur d'en-têtes CORS ?

CORS (Cross-Origin Resource Sharing) est un mecanisme de securite navigateur qui controle les origines Web pouvant acceder a vos ressources. Lorsqu'une application navigateur tente de recuperer des donnees depuis un domaine different, le navigateur verifie les en-tetes CORS sur la reponse. Sans en-tetes CORS corrects, les requetes cross-origin echouent avec une erreur CORS dans la console.

Réponse rapide

Les en-tetes CORS controlent les sites Web qui peuvent acceder a vos ressources serveur depuis du JavaScript navigateur. Utilisez Access-Control-Allow-Origin pour specifier les origines autorisees, Access-Control-Allow-Methods pour les verbes HTTP, et Access-Control-Allow-Credentials pour l'auth par cookie. Ne combinez jamais l'origine generique * avec les identifiants.

Last updated: 2026-05-28

Limites

CORS ne protege que les requetes basees sur le navigateur. Les requetes serveur a serveur, curl et les appels API directs ne sont pas soumis a CORS.
Certains navigateurs plus anciens (IE 10 et inferieur) ont un support CORS incomplete.
Les en-tetes CORS ne protegent pas votre API contre le DDoS, les abus ou les acces non autorises non-navigateur. Utilisez l'authentification, la limitation de debit et un WAF.

Sources:MDN Web Docs · W3C Specifications · jquery.app on GitHub

Comment utiliser cet outil

Saisissez les origines autorisees - utilisez * pour les API publiques ou des domaines specifiques pour un acces restreint.
Selectionnez les methodes HTTP que votre endpoint supporte et les en-tetes personnalises que les clients peuvent envoyer.
Activez le support des identifiants avec prudence - les navigateurs rejettent les requetes combinant l'origine * avec les identifiants.
Choisissez votre format de deploiement et copiez la configuration d'en-tete generee.

A quoi il sert

Configurer une API publique que tout frontend peut appeler depuis n'importe quel domaine.
Mettre en place un endpoint d'API prive accessible uniquement depuis votre propre domaine frontend, avec auth par cookie.
Generer des en-tetes CORS pour un Cloudflare Worker ou un backend Express.js avec une mise en cache preflight correcte.

Cas d'usage

Exemples concrets

Exemple

API publique en lecture seule

Une API JSON publique sert des donnees a tout frontend. Definissez l'origine sur *, autorisez GET uniquement, et n'activez pas les identifiants. C'est la configuration CORS la plus simple et la plus sure pour des donnees publiques.

Exemple

API d'administration privee avec cookies d'auth

Un tableau de bord d'administration a admin.example.com appelle une API a api.example.com avec des cookies de session. Definissez l'origine sur admin.example.com, autorisez GET/POST/PUT/DELETE, activez les identifiants.

Erreurs frequentes

Utiliser l'origine generique (*) avec Access-Control-Allow-Credentials: true - les navigateurs rejettent cette combinaison.
Oublier d'ajouter Vary: Origin lors de la fourniture d'en-tetes CORS differents selon l'origine de la requete.
Definir Access-Control-Max-Age au-dessus de 86400 - les navigateurs le limitent a 24 heures de toute facon.

Vérification

Ouvrez l'onglet Reseau des outils de developpement, effectuez une requete cross-origin et verifiez les en-tetes de reponse.
Testez avec curl -H 'Origin: https://example.com' -I https://your-api.com/endpoint pour simuler une requete cross-origin.

FAQ

Questions sur Générateur d'en-têtes CORS

Pourquoi ai-je une erreur CORS meme avec les bons en-tetes ?

Les erreurs CORS peuvent aussi etre causees par des problemes reseau, des certificats auto-signes pendant le developpement, ou le blocage de la requete par le navigateur avant qu'elle n'atteigne votre serveur. Verifiez que la requete preflight OPTIONS retourne un statut 2xx.

Puis-je utiliser * pour Access-Control-Allow-Origin avec des identifiants ?

Non. La specification CORS interdit explicitement la combinaison de l'origine generique avec les identifiants. Si vous devez supporter les identifiants, listez chaque origine explicitement.

Qu'est-ce qu'une requete preflight CORS ?

Une requete preflight est une requete OPTIONS automatique que le navigateur envoie avant la requete reelle quand celle-ci n'est pas simple. Les requetes sont preflightees quand elles utilisent des methodes autres que GET/HEAD/POST ou des en-tetes personnalises.

Outils lies

Autres outils outils github pages

Github Pages

Générateur Assetlinks & AASA

Générez assetlinks.json Android et Apple App Site Association pour les liens profonds.

Ouvrir l'outil

Github Pages

Générateur d'en-tête Cache-Control

Créez des en-têtes HTTP Cache-Control corrects pour les assets statiques, pages HTML et contenus sensibles.

Ouvrir l'outil

Github Pages

Générateur d'en-têtes COOP/COEP/CORP

Configurez les en-têtes d'isolation cross-origin pour SharedArrayBuffer, WASM et la sécurité.

Ouvrir l'outil

A essayer aussi

Seo

Générateur robots.txt pour crawlers IA

Créez des règles robots.txt pour les crawlers IA avec des modèles ouverts, sélectifs ou stricts.

Ouvrir l'outil

Seo

Générateur de sitemap hreflang

Créez des entrées de sitemap XML avec des alternatives hreflang pour les pages multilingues.

Ouvrir l'outil

Seo

Generateur de balises hreflang

Générez des balises hreflang propres pour sites statiques multilingües.

Ouvrir l'outil