CORS tester: controleer of een API de juiste headers stuurt
Bijgewerkt op 9 maart 2026
CORS-fouten zijn een van de meest voorkomende ergernissen bij het aanroepen van API's vanuit een browser. Met de CORS tester van Ster Software check je direct of een endpoint de vereiste CORS-headers meestuurt.
🔧 CORS testen →Wat is CORS?
CORS (Cross-Origin Resource Sharing) is een beveiligingsmechanisme in browsers dat bepaalt of een webpagina verzoeken mag doen naar een andere domeinnaam, protocol of poort dan de eigen pagina.
Stuurt een API-server niet de juiste CORS-headers mee, dan blokkeert de browser het verzoek en verschijnt er een fout in de console zoals Access to XMLHttpRequest blocked by CORS policy.
Belangrijke CORS-headers
Access-Control-Allow-Origin
Geeft aan welke origins verzoeken mogen doen. Waarde * staat alles toe; een specifiek domein beperkt de toegang.
Access-Control-Allow-Methods
Welke HTTP-methoden zijn toegestaan: GET, POST, PUT, DELETE, PATCH.
Access-Control-Allow-Headers
Welke request-headers de browser mag meesturen, bijv. Content-Type of Authorization.
Access-Control-Allow-Credentials
Of cookies en authenticatieheaders mogen worden meegestuurd. Kan alleen true zijn in combinatie met een specifieke origin (niet *).
Preflight-verzoeken
Bij "niet-eenvoudige" verzoeken — denk aan een JSON-body of custom headers — stuurt de browser eerst een OPTIONS-verzoek om te vragen of het echte verzoek mag. Dit heet een preflight.
Reageert de server hier niet correct op, dan blokkeert de browser het eigenlijke verzoek — ook als de API verder prima is ingesteld.
Veelgestelde vragen
Waarom werkt mijn API-aanroep wel via Postman maar niet in de browser?
Postman is geen browser en voert geen CORS-controles uit. De browser wel. Stuurt de API de juiste CORS-headers niet mee, dan blokkeert de browser het verzoek — ook als de API zelf gewoon bereikbaar is.
Hoe los ik een CORS-fout op?
Voeg de juiste CORS-headers toe aan de serverresponse. Bij eigen servers doe je dat via middleware (bijv. cors in Node.js of CORS-configuratie in Laravel/Django). Bij externe API's heb je daar geen controle over en moet je een proxy gebruiken.
Gerelateerde tools
- HTTP statuscodes — Uitleg van alle HTTP-codes
- Ping / latency meten — Laadtijd van een URL meten
- IP-adres & browserinfo — Je publieke IP-adres en browserinformatie bekijken