search

Found

info Visão geral

Gera em paralelo snippets CORS para Nginx, Apache, Express e Go e alerta quando Origin=* é usado com credentials=true.

📘 Como usar

  1. Definir a origem (Origin), métodos HTTP e cabeçalhos permitidos nos campos de configuração
  2. Ativar a opção de credenciais, se necessário para o compartilhamento de cookies ou tokens
  3. Escolher o servidor de destino (Nginx, Apache, Express ou Go) para visualizar o código correspondente

Gerador de snippets CORS multi-servidor

Digite * para permitir todos os domínios.

Permitir credenciais Cookie / Authorization header
Copiado!

                
Article

Gerador de Cabeçalhos CORS | Resolva Erros de Cross-Origin Rapidamente

Uma ferramenta prática para desenvolvedores web e engenheiros de infraestrutura gerarem blocos de configuração CORS exatos para diferentes servidores e frameworks. Simplifique a resolução do clássico erro "Cross-Origin Request Blocked" gerando rapidamente cabeçalhos HTTP compatíveis e seguros de forma automatizada.

💡 Sobre a Ferramenta

  • Geração Multiplataforma: Suporte instantâneo para servidores web (Nginx, Apache) e frameworks de back-end (Express no Node.js e Go nativo).
  • Configuração Granular: Defina facilmente domínios permitidos (Access-Control-Allow-Origin), métodos HTTP (GET, POST, OPTIONS, etc.) e cabeçalhos personalizados (como Authorization, Content-Type ou X-Requested-With).
  • Validação de Credenciais: Avisos integrados ao tentar habilitar Access-Control-Allow-Credentials: true junto com um curinga (*) na origem, prevenindo configurações inválidas segundo as especificações rigorosas dos navegadores modernos.
  • Foco em Privacidade: Todos os dados inseridos e códigos gerados são processados exclusivamente no seu navegador. Nenhuma informação de configuração da sua infraestrutura é enviada para servidores externos.

🧐 Perguntas Frequentes

Q. Por que recebo um aviso ao combinar "Allow Credentials" com a origem "*"?

A. A especificação do CORS (Cross-Origin Resource Sharing) proíbe o uso de Access-Control-Allow-Origin: * quando Access-Control-Allow-Credentials está definido como true. Para permitir o envio de cookies, sessões ou cabeçalhos de autorização cruzados de forma segura, você deve especificar a origem exata (ex: https://meusite.com.br) em vez de usar um curinga. O navegador bloqueará a requisição se ambos estiverem configurados de forma permissiva.

Q. Onde devo inserir o código gerado na minha infraestrutura?

A. A aplicação do código depende da tecnologia escolhida. Para o Nginx, insira o bloco gerado dentro do contexto server ou location do seu arquivo nginx.conf. No Apache, adicione as diretivas no arquivo .htaccess ou na configuração do seu VirtualHost. Para Express e Go, incorpore o trecho gerado como um middleware, posicionando-o antes da inicialização das rotas da sua API para que ele intercepte todas as requisições.

📚 Entendendo a Requisição "Preflight" no CORS

O CORS foi introduzido como um relaxamento controlado e padronizado da "Same-Origin Policy" (Política de Mesma Origem) implementada nativamente pelos navegadores. Sem o CORS, aplicações front-end modernas rodando em domínios diferentes da API não conseguiriam realizar requisições HTTP via Fetch ou XHR.

Um ponto que frequentemente causa dores de cabeça para desenvolvedores, inclusive no Brasil ao integrar sistemas de pagamento ou APIs de terceiros, é a requisição de "Preflight" (feita através do método OPTIONS). Antes de enviar uma requisição que pode modificar dados (como POST, PUT, DELETE) ou que contenha cabeçalhos customizados, o navegador envia um OPTIONS automático aos bastidores para perguntar ao servidor se a operação real é permitida. Configurar corretamente essas respostas Preflight — e garantir que o servidor responda rapidamente com um status de sucesso (como 204 No Content) sem processar a lógica de negócios — é fundamental para evitar latência extra e o bloqueio da aplicação do lado do cliente. Esta ferramenta já inclui a lógica de manipulação do método OPTIONS no código gerado para frameworks como Express e Go.