为什么开启凭据后就不能用通配符 Origin?
浏览器会直接拦截 `Access-Control-Allow-Origin: *` 与凭据同时存在的响应,所以必须返回明确来源域名。
CORS 响应头生成器
生成 Access-Control-* 响应头用于 API 与预检请求
API 与 HTTP
🔒 100% 本地运行 — 你的数据不会离开当前页面页面模式
CORS Policy Inputs
Quick CTA
先填 Origin、Methods 和 Headers,首屏直接生成可复制的 CORS 响应头;预检场景说明放在 Deep。
Output
生成结果会显示在这里
100% client-side
页面阅读模式
Quick 聚焦摘要、直答与下一步,适合先在首屏快速判断并完成一次结果验证。
工具说明
CORS 响应头生成器用于快速构建正确的 Access-Control-* 响应头。你可以配置允许来源、方法、请求头、暴露头、凭据策略和预检缓存时间,并直接复制到服务端或网关配置中。工具内置关键约束:启用凭据时不能使用通配符 Origin,可避免常见跨域误配。它适用于前后端联调、预检失败排障、生产环境 CORS 策略收敛等场景。所有生成逻辑都在浏览器本地执行,不会上传你的配置内容。
高频问题直答
什么时候应该加 `Vary: Origin`?
当你按请求动态回显 Origin,或不同请求会返回不同 CORS 头时,一定要加,避免缓存错误复用响应。