Web

概要

CORS 报错调试 (オリジン間リソース共有)

リクエスト条件とレスポンスヘッダーを照らし合わせて、ブラウザで CORS が通るかどうかを素早く判断できるツールです。

とはの使い方使用例主な使用シーンよくある質問

カテゴリ hub

Web

悩み

FAQ

クイックリンク

Hubを見る

#access-control-allow-origin-checker #cors-allow-methods-validation #cross-origin-header-inspector #cors-allow-headers-checker #api-cors-error-tool

Browser-side CORS triage

CORS Header Checker

Check whether a browser request will pass CORS based on the request method, custom headers, credentials mode, and the response headers your API currently returns.

Request context

OriginMethod

Request headersSeparate values with commas. You can include content-type: application/json when testing JSON requests.Treat this as a credentialed browser request

Response headers

Access-Control-Allow-OriginAccess-Control-Allow-MethodsAccess-Control-Allow-Headers

Verdict

Blocked by browser CORS policy

Preflight

Required

Requested headers

Allowed methods

Browser reasoning

Wildcard origin cannot be used with credentials

Browsers reject credentialed requests when Access-Control-Allow-Origin is '*' . Reflect the exact origin instead.

This request triggers a browser preflight

A browser will send OPTIONS first because the method or headers are outside the simple-request rules.

Credentials mode raises the CORS bar

If your frontend sends cookies or auth-bearing credentialed requests, the response headers must be much stricter than the public '*' pattern.

What usually fixes the mismatch

Reflect the exact frontend origin instead of returning * when credentials are involved.
Make sure the preflight response explicitly allows the real method and every custom request header the browser asked for.
Debug the browser request as two steps: preflight first, actual response second. Many teams only inspect the final API handler.

解決できる問題

なぜ API は Postman では動作するのに、ブラウザでは CORS エラーで失敗するのですか？

ブラウザは JavaScript にレスポンスを公開する前に CORS を適用しますが、Postman や curl は適用しません。つまり、HTTP レスポンスは技術的に有効であっても、返された CORS ヘッダーがリクエストのオリジン、メソッド、カスタムヘッダー、または資格情報モードと一致しないため、ブラウザで使用できない可能性があります。

なぜ資格情報使用時に Access-Control-Allow-Origin のアスタリスクは失敗するのですか？

資格情報を含むブラウザリクエストは、公開の匿名リクエストよりも厳格な CORS 契約を必要とします。フロントエンドが Cookie などを送信する場合、ブラウザは `Access-Control-Allow-Origin: *` を拒否し、具体的な許可されたオリジンを期待します。

どのヘッダーが実際にプリフライトリクエストを壊しているかを知るには？

ブラウザが送信しようとしているヘッダーと `Access-Control-Allow-Headers` を 1 つずつ比較してください。失敗の原因は、多くの場合、`authorization` や `x-api-key`、あるいは明示的に許可されていない JSON コンテンツタイプなど、単一のカスタムヘッダーの欠落です。

PATCH や DELETE を送信したいのに Allow-Methods に含まれていない場合はどうなりますか？

ブラウザはプリフライト段階で停止し、実際のリクエストを送信しません。このため、メソッドの不一致は、ルートハンドラーがリクエストを全く受信していないにもかかわらず、バックエンドのルートが壊れているように見えることがあります。

なぜ同じコードなのにローカルでは成功し、本番では CORS で失敗するのですか？

本番環境では、プロキシ、CDN、認証レイヤー、またはイングレスルールが追加され、ローカルサーバーが直接返したヘッダーを書き換えたり削除したりすることがあります。フロントエンドのコードが同一であっても、ブラウザが受け取る実際の CORS ヘッダーが変わっている可能性があります。

よくある使用フロー

HTTP Status Code Explorer URL Query Parameter InspectorCORS 报错调试 (オリジン間リソース共有)JSON Validator – Check JSON Syntax & Find Errors JWT Decoder

このワークフローのガイド

Supporting guides that connect this tool to the broader category workflow.

カテゴリ hub を開く

Web guide

Access-Control-Allow-Origin の * が credentials 付きで失敗する理由

フロントエンドが cookies や認証付きのリクエストを送るときに、Allow-Origin を `*` にしてしまう代表的な CORS ミスをブラウザ目線で整理します。

Web guide

レスポンスは正しそうなのに Set-Cookie が失敗する理由

ログイン後に auth Cookie が消えたように見えるとき、バックエンド成功とブラウザの Cookie ポリシー拒否を切り分けるためのデバッグガイドです。

Web guide

400・401・403・422 を見分ける API エラー切り分け手順

不正なリクエスト、認証失敗、権限不足、バリデーションエラーを混同せずに切り分けるための実践的な API デバッグ手順です。

Web guide

redirect_uri と Query Params での encodeURI と encodeURIComponent の使い分け

redirect_uri、ネストされた URL、query value をどの境界でエンコードすべきかを実例ベースで整理したガイドです。

とは

CORS 报错调试 (オリジン間リソース共有) とは？

CORS (オリジン間リソース共有) ヘッダーチェッカーは、ブラウザデバッグで最も重要な問いに答えるのに役立ちます。それは、「ブラウザはこのリクエストを許可するか、それともポリシーレイヤーで先にブロックするか？」という点です。CORS ヘッダーを一つずつ読み取って推測する代わりに、リクエストメソッド、カスタムヘッダー、資格情報（Credentials）モード、およびレスポンスヘッダーを 1 か所で比較できます。

これは、Postman や curl では動作するのにブラウザでは失敗するといった状況で特に役立ちます。その場合、バックエンドはトランスポート層では問題なくても、CORS の規約が不完全だったり内部で矛盾していたりするために、ブラウザが応答をブロックしている可能性があります。

の使い方

CORS 报错调试 (オリジン間リソース共有) の使い方

フロントエンドのオリジン（Origin）、リクエストメソッド、およびブラウザが送信するカスタムリクエストヘッダーを入力します。次に、API またはゲートウェイが現在返しているレスポンスヘッダー、特に `Access-Control-Allow-Origin`、`Access-Control-Allow-Methods`、`Access-Control-Allow-Headers` を入力してください。

チェッカーは、リクエストが Simple（単純）か Preflight（プリフライト）か、オリジンが許可されているか、そしてプリフライト応答が実際に要求されたメソッドやヘッダーを許可しているかを判定します。

使用例

シナリオ：
フロントエンドオリジン: https://app.aistacker.dev
メソッド: GET
ヘッダー: authorization, x-client-version
Allow-Origin: *
Allow-Methods: GET, POST, OPTIONS
Allow-Headers: authorization, x-client-version
Credentials: true

結果：
ブラウザはリクエストをブロックします。資格情報（Credentials）を伴うリクエストでは、Allow-Origin にワイルドカード `*` を使用することはできません。代わりに正確なオリジンを返してください。

主な使用シーン

1. curl では成功する API 呼び出しがブラウザで失敗する理由を解明する。

2. 特定のカスタムヘッダーがプリフライト（Preflight）失敗の本当の原因かどうかを確認する。

3. 使用しているリクエストモードに対して `Access-Control-Allow-Origin: *` が安全かどうかを検証する。

4. ゲートウェイが CORS ヘッダーを書き換えたり削除したりする場合に、ローカルの成功と本番の失敗を比較する。

よくある質問

なぜ Postman では動作するのに、ブラウザでは失敗するのですか？v

Postman や curl はブラウザの CORS 強制モデルに縛られません。サーバーは HTTP レベルで正常に応答するかもしれませんが、返された CORS ヘッダーがそのリクエストに対するブラウザのポリシーを満たさない場合、ブラウザは応答をブロックします。

すべてのクロスオリジンリクエストでプリフライトが発生しますか？v

いいえ。安全なメソッドと単純なヘッダーを使用する Simple リクエストはプリフライトをスキップできます。カスタムヘッダー、JSON コンテンツタイプ、または PUT や PATCH などのメソッドを導入すると、ブラウザは最初に OPTIONS プリフライトを送信する可能性が非常に高くなります。

資格情報（Credentials）が有効なとき、なぜ Allow-Origin のワイルドカードは使えないのですか？v

ブラウザは、`Access-Control-Allow-Origin` が `*` の場合に資格情報を含む CORS レスポンスを拒否します。資格情報が関与する場合、レスポンスはワイルドカードではなく、特定の許可されたオリジンを返す必要があります。