En för tillåtande CORS-policy låter angriparsajter läsa ditt API i användarens namn. Vi kontrollerar dina Access-Control-headers och flaggar de farliga kombinationerna.
Kör gratis domänscan Alla kontroller →Vi kontrollerar dina Access-Control-Allow-Origin- och -Allow-Credentials-headers: speglas origin okritiskt, används * tillsammans med credentials, och tillåts null-origin?
CORS styr vilka andra webbplatser som får läsa svaren från ditt API i en inloggad användares session. En felaktig policy gör att en angriparsajt kan exfiltrera användardata — ett vanligt fynd i API-granskningar.
* + Allow-Credentials: true (ogiltig men farlig)null-originAllow-Origin: * med credentialsnull-origin (kringgås enkelt)Är * alltid fel?
Nej — för helt publika, credential-lösa API:er kan * vara ok. Faran är * eller origin-spegling TILLSAMMANS med credentials/cookies.
Testar ni med inloggning?
Vi testar hur headers svarar på olika origins; vi behöver inte era credentials för själva CORS-kontrollen.
Påverkar det mitt API?
Nej — det är läs-endast preflight/origin-tester.
Kör en gratis scan eller beställ en full Security Assessment — prioriterat, inte brus.
Kör gratis domänscan