CORS Test Aracı

Cross-Origin Resource Sharing (CORS) politikalarını ve API isteklerini test edin ve hata ayıklayın

İstek Ayarları

Test için API isteğinizi yapılandırın

URL

HTTP Yöntemi

Başlıklar

Örnek İstekler

Bu önceden tanımlanmış API isteklerini deneyin

CORS Bilgileri

CORS hakkında temel bilgiler

CORS Nedir? CORS (Cross-Origin Resource Sharing), web tarayıcılarının farklı kaynaklardan (farklı domain, protokol veya port) yapılan isteklere tarayıcıda çalışan scriptlerden izin veren bir mekanizmadır.

Temel CORS Başlıkları

Access-Control-Allow-Origin: Kaynağa erişim izni verilen origin'leri belirtir
Access-Control-Allow-Methods: İzin verilen HTTP yöntemlerini belirtir
Access-Control-Allow-Headers: Kullanılabilecek HTTP başlıklarını belirtir
Access-Control-Allow-Credentials: Kimlik bilgilerinin (çerezler, HTTP kimlik doğrulama) dahil edilip edilmeyeceğini belirtir

💡 CORS Çözümleri

Sunucu Tarafı Çözümler

1. Express.js (Node.js):

const cors = require('cors');
          app.use(cors({
            origin: 'https://example.com',
            methods: ['GET', 'POST'],
            credentials: true
          }));

2. Spring Boot (Java):

@CrossOrigin(origins = "https://example.com")
          @RestController
          public class ApiController { ... }

İstemci Tarafı Çözümler

1. Proxy Sunucu Kullanımı:

// package.json (React)
          "proxy": "http://localhost:3001"

2. JSONP (Sadece GET):

// Sınırlı ama basit çözüm
          fetch('api?callback=handleResponse')

🔧 Ortama Göre CORS Yapılandırması

Next.js

// next.config.js
          module.exports = {
            async headers() {
              return [
                {
                  source: '/api/:path*',
                  headers: [
                    {
                      key: 'Access-Control-Allow-Origin',
                      value: '*'
                    }
                  ]
                }
              ]
            }
          }

Nginx

location /api {
            add_header Access-Control-Allow-Origin *;
            add_header Access-Control-Allow-Methods 
              "GET, POST, OPTIONS";
            add_header Access-Control-Allow-Headers 
              "Content-Type, Authorization";
          }

Apache

# .htaccess
          Header always set Access-Control-Allow-Origin "*"
          Header always set Access-Control-Allow-Methods 
            "GET, POST, OPTIONS"
          Header always set Access-Control-Allow-Headers 
            "Content-Type, Authorization"

Ortama Göre CORS Yapılandırması

Test Senaryoları

• Basit İstek: GET istekleri ile temel CORS davranışını test et
• Preflight İsteği: PUT/DELETE yöntemleri ile preflight isteklerini test et
• Özel Başlıklar: Authorization başlığı ile istekleri test et
• Kimlik Bilgileri: Çerezli istekleri test et
• Hata İşleme: Başarısız senaryoları test et

Güvenlik Değerlendirmeleri

• Güvenlik riskleri nedeniyle joker (*) kullanımında dikkatli olun
• En az yetki ilkesi: Sadece gerekli origin'ler ve yöntemler için izin verin
• Kimlik bilgisi kısıtlamaları: Kimlik bilgileri dahil edilirken sadece belirli origin'lere izin verin
• Düzenli inceleme: CORS politikalarını düzenli olarak gözden geçirin ve güncelleyin