GitHub Pages tools

Gratis CORS Header Generator

Genereer CORS HTTP-headers voor elke origin-, methode- en credential-configuratie.

Tool laden...

Wat is CORS Header Generator?

CORS (Cross-Origin Resource Sharing) is een browserbeveiligingsmechanisme dat bepaalt welke web origins toegang hebben tot uw bronnen. Wanneer een browser-app probeert gegevens op te halen van een ander domein, controleert de browser CORS-headers op de respons. Zonder correcte CORS-headers mislukken cross-origin verzoeken met een CORS-fout in de console.

Snel antwoord

CORS-headers bepalen welke websites toegang hebben tot uw serverbronnen vanuit browser-JavaScript. Gebruik Access-Control-Allow-Origin om toegestane origins op te geven, Access-Control-Allow-Methods voor HTTP-werkwoorden en Access-Control-Allow-Credentials voor cookie-gebaseerde authenticatie. Combineer nooit * wildcard-origin met credentials.

Last updated: 2026-05-28

Beperkingen

CORS beschermt alleen browser-gebaseerde verzoeken. Server-naar-server verzoeken, curl en directe API-aanroepen zijn niet onderworpen aan CORS - CORS is een browserhandhavingsmechanisme, geen serverbeveiligingslaag.
Sommige oudere browsers (IE 10 en lager) hebben onvolledige CORS-ondersteuning en kunnen preflight-caching mogelijk niet correct afhandelen. Voor moderne webapps is browserondersteuning universeel.
CORS-headers beschermen uw API niet tegen DDoS, misbruik of niet-geautoriseerde niet-browser toegang. Gebruik authenticatie, rate limiting en een WAF naast CORS.

Sources:MDN Web Docs · W3C Specifications · jquery.app on GitHub

Zo gebruik je deze tool

Voer de toegestane origins in - gebruik * voor openbare API's of specifieke domeinen voor beperkte toegang.
Selecteer de HTTP-methoden die uw endpoint ondersteunt en eventuele aangepaste headers die clients kunnen sturen.
Schakel credentials-ondersteuning met zorg in - browsers wijzen verzoeken af die * origins combineren met credentials.
Kies uw implementatieformaat en kopieer de gegenereerde headerconfiguratie.

Waarvoor je het kunt gebruiken

Configureer een openbare API die elk frontend van elk domein kan aanroepen.
Stel een privé API-endpoint in dat alleen uw eigen frontend-domein kan benaderen, met cookie-gebaseerde authenticatie.
Genereer CORS-headers voor een Cloudflare Worker of Express.js backend met correcte preflight caching.

Gebruik

Praktische voorbeelden

Voorbeeld

Openbare read-only API

Een openbare JSON-API serveert gegevens aan elk frontend. Stel origin in op *, sta alleen GET toe en schakel credentials niet in. Dit is de eenvoudigste en veiligste CORS-configuratie voor openbare gegevens.

Voorbeeld

Privé admin API met auth-cookies

Een admin-dashboard op admin.example.com belt een API op api.example.com met sessiecookies. Stel origin in op admin.example.com, sta GET/POST/PUT/DELETE toe, schakel credentials in en gebruik nooit * voor de origin.

Veelgemaakte fouten

Wildcard-origin (*) gebruiken samen met Access-Control-Allow-Credentials: true - browsers wijzen deze combinatie af.
Vergeten Vary: Origin toe te voegen bij het serveren van verschillende CORS-headers op basis van de aanvraag-origin.
Access-Control-Max-Age instellen boven 86400 - browsers begrenzen het op 24 uur ongeacht de instelling.

Verificatie

Open het DevTools Netwerk-tabblad, doe een cross-origin verzoek en controleer de response-headers op Access-Control-Allow-Origin en gerelateerde headers.
Test met curl -H 'Origin: https://example.com' -I https://uw-api.com/endpoint om een cross-origin verzoek te simuleren en de Access-Control-headers te verifiëren.

FAQ

Vragen over CORS Header Generator

Waarom krijg ik een CORS-fout zelfs met de juiste headers?

CORS-fouten kunnen ook worden veroorzaakt door netwerkproblemen, zelf-ondertekende certificaten tijdens ontwikkeling, of de browser die het verzoek blokkeert voordat het uw server bereikt. Controleer de browserconsole voor de specifieke CORS-foutmelding en verifieer dat het preflight OPTIES-verzoek een 2xx-status teruggeeft. Sommige serverframeworks retourneren standaard 404 of 500 voor OPTIES.

Kan ik * gebruiken voor Access-Control-Allow-Origin met credentials?

Nee. De CORS-specificatie verbiedt expliciet het combineren van de wildcard-origin met credentials. Browsers wijzen de respons af. Als u credentials moet ondersteunen, vermeld dan elke origin expliciet of echo dynamisch de aanvraag-origin terug na validatie tegen een toegestane lijst.

Wat is een CORS preflight-verzoek?

Een preflight is een automatisch OPTIES-verzoek dat de browser verzendt vóór het daadwerkelijke verzoek wanneer het verzoek niet eenvoudig is. Verzoeken krijgen een preflight wanneer ze andere methoden gebruiken dan GET/HEAD/POST, aangepaste headers zoals Authorization bevatten, of Content-Type anders dan application/x-www-form-urlencoded, multipart/form-data of text/plain gebruiken. De preflight controleert of de server het beoogde verzoek toestaat.

Gerelateerde tools

Meer github pages tools

Github Pages

Assetlinks & AASA Generator

Genereer Android assetlinks.json en Apple App Site Association voor deep links.

Open tool

Github Pages

Cache-Control Header Builder

Bouw correcte Cache-Control HTTP-headers voor statische assets, HTML-pagina's en gevoelige inhoud.

Open tool

Github Pages

COOP/COEP/CORP Header Builder

Configureer cross-origin isolatie-headers voor SharedArrayBuffer, WASM en beveiliging.

Open tool

Probeer ook

Seo

AI-crawler robots.txt Builder

Bouw robots.txt-regels voor AI-crawlers met open, selectieve of strikte presets.

Open tool

Seo

Hreflang Sitemap Builder

Bouw XML-sitemap-items met hreflang-alternates voor meertalige pagina's.

Open tool

Seo

Hreflang-taggenerator

Genereer schone hreflang-tags voor meertalige statische websites.

Open tool