CORS là gì và tại sao nó quan trọng?

CORS (Cross-Origin Resource Sharing) là một cơ chế bảo mật của trình duyệt web cho phép các trang web từ một domain truy cập tài nguyên từ domain khác một cách an toàn. Nó rất quan trọng vì ngăn chặn các cuộc tấn công cross-site request forgery (CSRF) và bảo vệ dữ liệu người dùng khỏi bị truy cập trái phép từ các trang web độc hại.

Tôi nên set Access-Control-Allow-Origin thành * hay cụ thể domain?

Bạn nên set thành domain cụ thể (ví dụ: https://yourdomain.vn) thay vì * để tăng cường bảo mật. Sử dụng * chỉ nên dùng cho các API công khai không yêu cầu xác thực. Nếu API của bạn xử lý dữ liệu nhạy cảm hoặc yêu cầu credentials, luôn liệt kê các origin được phép một cách rõ ràng.

Làm thế nào để fix lỗi CORS blocked by browser?

Lỗi này xảy ra khi server không gửi đúng CORS headers. Để fix: 1) Kiểm tra cấu hình CORS trên server của bạn, 2) Thêm Access-Control-Allow-Origin header với domain của client, 3) Nếu dùng credentials, set Access-Control-Allow-Credentials thành true, 4) Liệt kê các methods và headers cần thiết trong Access-Control-Allow-Methods và Access-Control-Allow-Headers.

Preflight request là gì và khi nào nó được gửi?

Preflight request là một OPTIONS request mà trình duyệt tự động gửi trước request thực tế. Nó được gửi khi request là POST/PUT/DELETE, hoặc khi có custom headers hoặc Content-Type không phải application/x-www-form-urlencoded. Server phải phản hồi với các CORS headers phù hợp, nếu không request thực tế sẽ bị block.

Tại sao công cụ này báo CORS không hoạt động nhưng website vẫn chạy bình thường?

Điều này có thể xảy ra vì CORS chỉ được kiểm tra bởi trình duyệt web, không phải bởi các tool hay curl commands. Nếu bạn truy cập trực tiếp từ server hoặc dùng curl, CORS không ảnh hưởng. Tuy nhiên, nếu frontend của bạn gọi API từ domain khác, lỗi CORS sẽ xuất hiện trên trình duyệt của người dùng.

Kiểm tra CORS Headers - Phát hiện lỗi cấu hình nhanh chóng

Công cụ kiểm tra CORS giúp bạn xác minh cấu hình CORS headers của website một cách nhanh chóng và chính xác. Phát hiện các lỗi cấu hình CORS có thể gây ảnh hưởng đến API và tài nguyên cross-origin của bạn.

Cách sử dụng Kiểm tra CORS

Kiểm tra CORS là công cụ giúp bạn xác minh cấu hình Cross-Origin Resource Sharing (CORS) của website một cách nhanh chóng và chính xác. Dưới đây là các bước sử dụng:

Nhập URL website: Điền địa chỉ web của trang bạn muốn kiểm tra vào ô input
Chọn phương thức HTTP: Lựa chọn phương thức request (GET, POST, PUT, DELETE, OPTIONS)
Thêm Origin (tuỳ chọn): Nhập origin cụ thể để kiểm tra quyền truy cập từ domain đó
Nhấn nút Kiểm tra: Bấm để gửi request và phân tích CORS headers
Xem kết quả: Công cụ sẽ hiển thị các CORS headers được trả về và giải thích chi tiết
Phân tích cấu hình: Kiểm tra xem cấu hình có an toàn và đúng yêu cầu hay không

Khi nào cần dùng Kiểm tra CORS

Công cụ này rất hữu ích trong nhiều tình huống phát triển và bảo mật web. Dưới đây là những trường hợp bạn nên sử dụng:

Debug lỗi CORS: Khi gặp lỗi "Access to XMLHttpRequest blocked by CORS policy" trên trình duyệt
Kiểm tra API security: Đảm bảo API của bạn chỉ cho phép các origin được phép truy cập
Xác minh cấu hình server: Kiểm tra xem server có gửi đúng CORS headers không
Testing cross-domain requests: Khi phát triển ứng dụng gọi API từ domain khác
Kiểm tra bảo mật: Phát hiện cấu hình CORS quá lỏng lẻo có thể gây rủi ro bảo mật
Tích hợp dịch vụ bên thứ ba: Xác nhận các dịch vụ ngoài có thể truy cập API của bạn

📊Cần Hosting SEO nhanh?

NVMe Hosting tối ưu tốc độ — giúp website lên top Google

Xem Hosting SEO

Thông tin kỹ thuật

CORS (Cross-Origin Resource Sharing) là một cơ chế bảo mật được triển khai bởi các trình duyệt web để kiểm soát quyền truy cập tài nguyên giữa các origin khác nhau. Dưới đây là những khía cạnh kỹ thuật quan trọng:

CORS Headers chính

Access-Control-Allow-Origin: Chỉ định những origin nào được phép truy cập tài nguyên (ví dụ: https://example.vn hoặc *)
Access-Control-Allow-Methods: Liệt kê các phương thức HTTP được cho phép (GET, POST, PUT, DELETE, OPTIONS)
Access-Control-Allow-Headers: Xác định những headers nào được phép trong request (Content-Type, Authorization, v.v.)
Access-Control-Max-Age: Thời gian (tính bằng giây) mà trình duyệt có thể cache kết quả preflight request
Access-Control-Allow-Credentials: Cho phép gửi cookies và credentials trong cross-origin requests khi được set thành true

Preflight Request

Khi một request gọi API từ origin khác với một số điều kiện nhất định, trình duyệt sẽ tự động gửi một OPTIONS request (preflight) trước request thực tế để kiểm tra quyền. Công cụ này giúp bạn kiểm tra phản hồi preflight request.

Câu hỏi thường gặp

Công cụ liên quan

Quét liên kết ngoài

Phân tích trang web, liệt kê liên kết ra ngoài và cảnh báo liên kết đáng ngờ (rút gọn URL, trỏ thẳng IP, tên miền IDN giả mạo, văn bản sai lệch đích đến) — phát hiện web bị chèn link spam.

HTTP Headers

Kiểm tra và phân tích toàn bộ HTTP headers của bất kỳ website nào để tối ưu bảo mật và SEO.

Kiểm tra Meta Tag

Công cụ kiểm tra và tối ưu hóa meta tag cho SEO website hiệu quả

Tạo UTM

Tạo tham số UTM tùy chỉnh để theo dõi hiệu suất các chiến dịch marketing trên Google Analytics.