CORS配置生成器

可视化生成跨域资源共享(CORS)配置，支持多服务器模板与响应头预览，适用于接口联调、安全加固与上线排查

生成 CORS 响应头与服务端配置片段，预设模板适合快速联调与上线前检查。

CORS配置选项

预设模板

允许的源 (Origins)允许所有源 *

启用凭证时不建议使用 *，多来源模板会按请求来源匹配

允许的方法

允许的请求头允许所有请求头 *

暴露给客户端的响应头

允许携带凭证

预检缓存(秒)

配置代码

服务器/框架

配置代码

add_header 'Access-Control-Allow-Origin' '*';
add_header 'Access-Control-Allow-Methods' 'GET, POST, PUT, DELETE, PATCH, OPTIONS';
add_header 'Access-Control-Allow-Headers' '*';


add_header 'Access-Control-Max-Age' '86400';

if ($request_method = 'OPTIONS') {
    return 204;
}

HTTP响应头预览

Access-Control-Allow-Origin: *
Access-Control-Allow-Methods: GET, POST, PUT, DELETE, PATCH, OPTIONS
Access-Control-Allow-Headers: *
Access-Control-Max-Age: 86400

关于CORS

简单请求只包含基础方法与头部
预检请求用于复杂跨域操作
允许凭证时需明确指定来源
生产环境建议使用白名单

说明文档

CORS 配置生成器是什么

该工具用于快速生成不同服务器环境的 CORS 配置代码与响应头预览，适合接口上线前配置校验。

主要功能

提供开放、严格等常见预设。
支持自定义允许源、方法、请求头与暴露头。
支持凭证和缓存时间配置。
支持多服务端配置代码输出与复制。

使用步骤

选择预设或手动配置参数。
选择目标服务端类型。
查看生成代码与头部预览。
复制后应用到服务配置。

常见问题

允许凭证时为什么不能使用 `*` 源？

浏览器规范要求 Allow-Credentials=true 时必须返回明确来源，不能使用通配符。

多来源场景该怎么配置？

建议后端按请求来源动态回写 Access-Control-Allow-Origin，并维护白名单校验。

CORS配置选项

配置代码

HTTP响应头预览

关于CORS

相关工具

说明文档

CORS 配置生成器是什么

主要功能

使用步骤

常见问题

允许凭证时为什么不能使用 * 源？

多来源场景该怎么配置？

允许凭证时为什么不能使用 `*` 源？