CORS Headers Checker(CORS判定シミュレーター)

リクエスト/レスポンスヘッダーを入力するとCORS許可可否をシミュレートします。プリフライト判定にも対応。

入力データはブラウザ内で処理されます
データはサーバーへ送信されません

変換ツール

リクエスト/レスポンスの内容を入力すると、ブラウザがCORSをどう判定するかをシミュレートします。

リクエスト(ブラウザ → サーバー)

1行に1ヘッダー(Header-Name: value)

レスポンス(サーバー → ブラウザ)

リクエストは許可されます

Origin の一致

Access-Control-Allow-Origin が '*' のため全Originを許可

認証情報(Credentials)

credentials は使用されていません(該当なし)

メソッドの許可

シンプルメソッドのためプリフライト不要

カスタムヘッダーの許可

カスタムヘッダーは送信されません

CORSの基礎知識

シンプルリクエストとは

GET/HEAD/POSTのいずれかで、Content-Typeがtext/plain・multipart/form-data・application/x-www-form-urlencodedのいずれか、かつカスタムヘッダーを含まないリクエストはプリフライト不要です。

プリフライトリクエストとは

上記の条件を満たさないリクエスト(PUT/DELETE、application/json、Authorizationヘッダーなど)は、本番リクエストの前にブラウザが自動でOPTIONSリクエストを送り、サーバーの許可を確認します。

CORS Headers Checkerとは?

CORS(Cross-Origin Resource Sharing)の設定が正しいかどうかを、実際にサーバーへリクエストを送ることなくシミュレーションできるツールです。

「フロントエンドからAPIを呼んだらCORSエラーが出た」というときに、どのヘッダー設定が問題なのかを素早く特定できます。Origin・認証情報・許可メソッド・許可ヘッダーの4つの観点でチェックし、プリフライトリクエストの要否も自動判定します。

使い方

  1. 左側にリクエスト情報(Origin・メソッド・カスタムヘッダー・認証情報の有無)を入力します。
  2. 右側にサーバーが返すレスポンスヘッダー(Access-Control-Allow-*)を入力します。
  3. 「成功例を読み込む」「失敗例を読み込む」ボタンで典型的なケースを確認できます。
  4. 判定結果がOK/NGで表示され、各項目(Origin一致・認証情報・メソッド・ヘッダー)ごとの詳細なチェック結果が確認できます。
  5. リクエストがプリフライト(OPTIONS)を必要とするかどうかも自動判定されます。

よくある質問

プリフライトリクエストとは何ですか?

GET/HEAD/POST以外のメソッド、application/json等のContent-Type、カスタムヘッダーを使う場合など「シンプルリクエスト」の条件を満たさないとき、ブラウザは本リクエストの前に自動でOPTIONSリクエストを送り、サーバーの許可を確認します。

Access-Control-Allow-Origin に「*」を指定すると何が起きますか?

全てのOriginからのアクセスを許可しますが、credentials(Cookieや認証情報)を含むリクエストでは「*」は使用できず、具体的なOriginを指定する必要があります。

このツールは実際の通信を行いますか?

いいえ。入力された値をもとにブラウザのCORS仕様をシミュレートするだけで、外部への通信は一切行いません。

判定結果は100%正確ですか?

主要なCORSルール(Origin一致・Credentials・許可メソッド・許可ヘッダー)をシミュレートしていますが、実際のブラウザ実装や特殊なケースでは差異が生じる可能性があります。最終確認は実際のブラウザでお願いします。