Cors API

Ürün

Tarayıcı güvenli API trafiği için eksiksiz bir kontrol düzlemi

Self-hosted CORS proxy: allowlist’ler, kotalar, API anahtarları, gözlemlenebilirlik ve ekip yönetişimi — ağınızı açık bir relay’e çevirmeden üçüncü taraf API’lere çıkış.

Hesap oluşturKılavuzu oku
Teknik blogAna sayfa

Ekipler neden çapraz köken API erişiminde CorsAPI kullanıyor?

Modern web uygulamaları sürekli ödeme, kimlik, analitik ve iş ortağı API’lerini çağırır. Tarayıcılar aynı köken ve CORS kurallarını uygular; yanlış yapılandırma üretimde sessiz hatalara dönüşür. CorsAPI, CORS kurallarını, izinli upstream host ve path’leri ve proje başına hız limitlerini merkezileştirir; her upstream servise ayrı yama atmak zorunda kalmazsınız.

Veriyi kendi altyapınızda tutarsınız. Panelde proje oluşturur, tarayıcı origin’lerini listeler, hangi DNS adlarının ve URL öneklerinin çağrılabileceğini tanımlar ve API anahtarı üretirsiniz. Trafik bir proje anahtarına yazılır; kimlik bilgisini döndürebilir, kullanımı okuyabilir ve kesintiye dönüşmeden önce ani yükleri fark edebilirsiniz.

Tek sayfa uygulama, WebView’lı mobil uygulama veya aynı proxy’yi çağıran sunucu taraflı işçiler çalıştırın — aynı politika modeli geçerlidir: açık allowlist’ler, kotalar ve analitik; genel amaçlı açık proxy değil.

Ücretsiz katman özeti

Aşağıdaki sayılar bu dağıtımda yeni çalışma alanları için geçerli limitleri yansıtır. Ortam ve üretim projelerini boyutlandırırken kullanın.

Hesap başına proje

Ortam, üretim veya ürün hatları için ayrı çalışma alanları.

Dakika başına istek (tavan)

Ücretsiz katman tavanı içinde ayarlanabilir proje başına üst sınır.

Proje başına tarayıcı origin’i

Localhost portları, önizleme URL’leri ve üretim alan adları.

Gerçek teslimat akışları için tasarlandı

Yerel geliştirmeden üretim yayınına — aynı politika yapı taşları geçerli.

SPA geliştiren ön uç ekipleri

Geliştirme ve üretimde ihtiyacınız olan her origin’i listeleyin; entegrasyonlar oturdukça host ve path kurallarını sıkılaştırın. Paneldeki proxy testi, kullanıcılarınızın gördüğüyle aynı CORS ve politika davranışını üretir.

  • Origin listesi localhost ve önizleme dağıtımlarını kapsar
  • Host ve path kuralları yanlışlıkla geniş çağrıları engeller
  • Kota başlıkları sert hatadan önce yavaşlamaya yardım eder

Platform ve SRE ekipleri

Sağlık uçları hazırlık prob’larına uygun; günlük kullanım ve hata oranları regresyonları gösterir. p95 gecikme örnekleri hacimle birlikte upstream yavaşlığını istemci kaynaklı sorunlardan ayırmanıza yardım eder.

  • Canlılık ve hazırlık için sağlık uçları
  • İstek, hata ve gecikme için günlük özetler
  • Net sahiplik ve döndürme için proje başına anahtarlar

Güvenlik odaklı kurumlar

Metot allowlist’leri, gövde boyutu limitleri, başlık filtreleri ve isteğe bağlı sertleştirme yanıt başlıkları sızıntı ve kötüye kullanımı azaltır. Organizasyonlar ve roller ekip büyüdükçe yönetişimi hizalar.

  • Proje başına politika; sunucuya rastgele yama yok
  • Başlık filtreleme ve etkinleştirdiğiniz IP kontrolleri
  • KVKK/GDPR süreçleri için dışa aktarma ve silme akışları

Proxy ve geçit

CORS, allowlist ve kotalar — tarayıcı veya sunucudan çıkan trafik tanımladığınız kurallardan geçer.

  • CORS ve OPTIONS preflight

    Tarayıcı origin’lerini satır satır tanımlayın; proxy, proje politikanıza uygun CORS yanıtları üretir — upstream servislere yama yok.

  • Host ve path allowlist

    Yalnızca onayladığınız upstream host ve path önekleri erişilebilir. Açık relay değil — trafik yalnızca kurallarınıza göre.

  • Proje başına API anahtarları

    Önekli anahtarlar oluşturun ve iptal edin; tarayıcı veya sunucudan X-CorsAPI-Key veya Authorization: Bearer ile gönderin (ücretsiz katman limitleri içinde).

  • Dakika kotası ve başlıklar

    Proje başına dakikada istek üst sınırı; başarılı yanıtlarda kota ipuçları (ör. X-RateLimit-* tarzı başlıklar) dönebilir.

Gözlemlenebilirlik

Hacmi, hataları ve gecikmeyi tek yerde görün — kullanıcı talep açmadan önce.

  • Günlük kullanım ve hatalar

    Proje bazında günlük özetler: istek sayısı, 4xx/5xx dağılımı ve gecikme toplamları — trendleri erken görün.

  • p95 gecikme örnekleri

    Hacimle birlikte yüzdelik gecikme örnekleriyle upstream yavaşlamalarını izleyin — SLO ve regresyonlar için.

  • Panelde proxy testi

    Tarayıcıdan metot, URL, ek başlık ve isteğe bağlı gövde ile test isteği gönderin — CORS ve güvenlik kurallarınız geçerlidir.

Güvenlik ve politika

Her proje için hangi metot, başlık ve gövdelerin geçeceğini sıkılaştırın.

  • Proje güvenlik politikası

    HTTP metot izinleri, maks. gövde boyutu, istemci IP allowlist, başlık filtreleri, upstream HTTPS beklentisi, zaman aşımı ve yönlendirme limiti.

  • Başlık filtreleme

    Hangi istek başlıklarının upstream’e gideceğini ve hangi yanıt başlıklarının istemciye döneceğini kontrol edin — çerez sızıntısını azaltın.

  • İsteğe bağlı güvenlik yanıt başlıkları

    Proxy yanıtlarında yaygın sertleştirme başlıklarını açıp kapatın; ön uçlarınız için tarayıcı güvenliğini güçlendirin.

Platform ve uyum

Hesaplar, ekipler, makine tarafından okunabilir API tanımları ve gizlilik dostu operasyon.

  • Organizasyonlar ve roller

    Takımla çalışın: çalışma alanları, projeler ve sahip, yönetici, üye rolleri.

  • Hesaplar ve e-posta doğrulama

    Yapılandırıldıysa SMTP ile kayıt doğrulama; şifre akışları ve panel için oturum çerezleri.

  • OpenAPI ve sağlık uçları

    Entegrasyonlar için makine tarafından okunabilir API tanımları; dağıtımınız açtığında etkileşimli dokümantasyon. Prob ve dağıtımlar için /health/live ve /health/ready gibi sağlık uçları.

  • Belgelenmiş ücretsiz katman limitleri

    Herkese açık GET /api/plan/limits proje, origin, anahtar ve kota üst sınırlarını döner — panolar ve dağıtım sonrası kontroller için idealdir.

  • Veri dışa aktarma ve hesap silme

    Ayarlar dışa aktarma ve hesap silme akışlarını destekler — self-hosted veride KVKK/GDPR süreçleri için önemlidir.

CorsAPI mimarinize nasıl oturur?

CorsAPI genel bir HTTP tüneli değildir. İstemcileriniz ile onayladığınız üçüncü taraf API’leri arasında, kimlik ve kota proje başına uygulanan politika güvenli bir proxy’dir.

Tarayıcı istemcileri Origin başlığı gönderir; isteğin başarılı olması için proxy bu origin’e izin vermelidir. Sunucu tarafı istemciler CORS atlar ancak yine geçerli proje anahtarı ve host/path kurallarına uymalıdır — aynı proje hem genel ön uçları hem özel işçileri aynı upstream yapılandırmasını kopyalamadan besleyebilir.

Kotolar proje anahtarı başına dakika bazında uygulanır. Bu, paylaşılan altyapıyı korur ve bir iş ortağı API’si hız limitini değiştirdiğinde veya bir sürüm hatalı davrandığında öngörülebilir bir dümen sunar. Yanıt başlıklarında genellikle HTTP 429 almadan önce geri çekilmek için kota ipuçları bulunur.

Uyumluluk için hizmetin nerede çalıştığını ve panele kimlerin erişebileceğini siz kontrol edersiniz. OpenAPI ve sağlık uçları doğrulamayı otomatikleştirir; dışa aktarma ve silme akışları veriyi kendi altyapınızda işlerken veri sahibi süreçlerini destekler.

Sık sorulan sorular

CorsAPI açık bir HTTP proxy mi?+

Hayır. Yalnızca bir projede izin verdiğiniz upstream host ve path öneklerine ulaşılabilir. İstekler geçerli bir proje API anahtarı içermeli ve CORS ile politika kontrollerinden geçmelidir. Bu tasarım anonim relay kötüye kullanımını engeller.

Aynı projeyi tarayıcı ve sunucudan kullanabilir miyim?+

Evet. Tarayıcı çağrıları izinli bir Origin göndermelidir; sunucu çağrıları genelde Origin içermez ancak anahtarı gönderir. Birçok ekip istemci ve sunucu trafiği için ayrı anahtar kullanır; böylece döndürme ve kotalar net kalır.

Kotalar nasıl işler?+

Her projenin dakika başına bir istek bütçesi vardır. Başarılı yanıtlar istemcilerin yavaşlaması için kota ipuçları içerebilir. Bütçe bittiğinde pencere yenilenene kadar hizmet HTTP 429 döndürebilir.

Hangi gözlemlenebilirlik var?+

Proje başına günlük özetler istek sayısı, hata dağılımı ve p95 örnekleri dahil gecikme toplamlarını içerir. SLO’lar ve dağıtım veya sağlayıcı değişikliklerinden sonraki regresyonlar için kullanın.

Güvenlik sertleştirmesi nasıl?+

Proje başına metot allowlist’leri, gövde boyutu limitleri, başlık filtreleme ve isteğe bağlı sertleştirme yanıt başlıklarını yapılandırabilirsiniz. Tehdit modeliniz gerektiriyorsa IP allowlist’leri ile birleştirin.

Daha fazlasını nerede okurum?+

Dokümantasyondaki kullanım kılavuzuyla başlayın; CORS ve geçit konuları için bloga göz atın. API referansı dağıtımınız için proxy parametrelerini ve yardımcı uçları açıklar.

Kendi yığınınızda CorsAPI’yi denemeye hazır mısınız?

Ücretsiz hesap oluşturun, ilk projenizi yapılandırın ve dakikalar içinde panelden test isteği gönderin.

Hesap oluşturKılavuzu oku