UD5工具箱
本地IP检测工具 - 获取局域网/公网IP地址
通过WebRTC技术获取局域网IP地址,并通过公网API查询出口IP,显示当前网络信息。
CORS 请求构建器 - 自定义跨域请求头测试
CORS 请求构建器
构建并发送跨域 HTTP 请求,测试 CORS 配置,分析预检请求与响应头
请求配置
| Header 名称 | Header 值 | |
|---|---|---|
简单请求
不会触发预检 (Preflight)
响应结果
配置请求参数后点击发送
响应将在此处展示
—
耗时: —
| Header | Value |
|---|
—
CORS 常见问题与知识点
CORS(Cross-Origin Resource Sharing,跨域资源共享) 是一种浏览器安全机制,用于控制一个网页能否访问不同源(协议+域名+端口)的资源。由于同源策略的限制,浏览器默认阻止跨域请求。CORS 通过一系列的 HTTP 响应头(如
Access-Control-Allow-Origin)来告知浏览器是否允许跨域访问,从而在保证安全的前提下实现跨域数据交互。
预检请求是浏览器在发送实际跨域请求前,自动发出的一个 OPTIONS 请求,用于检查服务器是否允许该跨域请求。以下情况会触发预检:
- 使用了
GET、HEAD、POST之外的方法(如 PUT、DELETE、PATCH) POST请求的Content-Type不是application/x-www-form-urlencoded、multipart/form-data或text/plain- 设置了除安全头之外的自定义请求头(如
Authorization、X-API-Key等)
Access-Control-Request-Method 和 Access-Control-Request-Headers 头,服务器需返回对应的允许头。
简单请求满足所有以下条件:方法为 GET/HEAD/POST;仅使用安全头;POST 的 Content-Type 为三种简单类型之一。简单请求不会触发预检,浏览器直接发送请求并检查响应中的 CORS 头。预检请求则先发送 OPTIONS 请求验证权限,通过后才发送实际请求。理解这一区别对于调试 CORS 问题至关重要。
可以,但有限制。当请求不携带凭证(credentials: omit 或 same-origin 非同源)时,可以设置为
*。如果请求携带了凭证(credentials: include 或 withCredentials=true),则 Access-Control-Allow-Origin 必须指定具体的源(不能是 *),且服务器还需返回 Access-Control-Allow-Credentials: true。
常见错误包括:
- "No 'Access-Control-Allow-Origin' header" — 服务器未返回正确的 CORS 头,需检查服务端配置
- "Method not allowed by CORS" — 预检响应中
Access-Control-Allow-Methods未包含请求方法 - "Request header field not allowed" — 自定义请求头未被
Access-Control-Allow-Headers允许 - "Credentialed request blocked" — 携带凭证时
Access-Control-Allow-Origin使用了通配符*
后端需根据需求设置以下响应头:
Access-Control-Allow-Origin— 指定允许的源,或动态反射请求的 OriginAccess-Control-Allow-Methods— 允许的 HTTP 方法列表Access-Control-Allow-Headers— 允许的请求头列表Access-Control-Allow-Credentials— 是否允许携带凭证(true/false)Access-Control-Max-Age— 预检缓存时间(秒),减少重复预检
求职信结构生成器 - 段落提示与模板
提供每段应该写什么的提示,辅助填写个性化的求职信内容。
联系人选择器测试 - Contacts API演示
调用设备联系人选择界面,获取用户选中的联系人信息(需支持环境)。
IP地址分类查询 - A/B/C/D/E类及私有地址
输入IPv4地址,自动告知属于哪一类(A,B,C),是否私有,以及网络和主机部分。
OAuth2 协议流模拟器 - 授权码与隐式流可视化
逐步演示OAuth2授权码、隐式及密码模式交互流程,帮助理解重定向、Token交换与刷新机制。
URL.canParse 测试器 - 安全检测 URL 有效性
输入字符串并使用 URL.canParse() 判断是否为有效 URL,不抛出异常。
Unix时间戳转换工具 - 在线时间戳与日期互转
在线Unix时间戳与标准日期时间互转,支持秒/毫秒级时间戳,显示GMT和本地时间。
Web OTP API 验证演示 - 短信动态码自动填入
模拟接收包含一次性密码的短信,展示 navigator.credentials.get({otp}) 如何自动提取 OTP 并填入表单。
SQL JOIN 类型交互演示 - 韦恩图与结果预览
选择表A和表B的样本数据,查看INNER/LEFT/RIGHT/FULL JOIN的韦恩图与实际输出结果。
链接短码生成器 - 随机安全字符串链接
输入长链接,生成一个伴随随机短码的完整离线URL(可自定义域名前缀)。
Web App Manifest生成器 - PWA清单文件配置
快速生成PWA所需的manifest.json文件,填写应用名、图标、主题色、启动网址等字段。
随机User-Agent轮换器 - API测试防检测
从内置库随机选取主流浏览器的User-Agent字符串,一键复制用于请求头。
正则替换捕获组测试器 - $1/$2 引用预览
编写正则表达式并指定替换模式(如 '$1-$2'),实时查看文本替换结果,支持命名捕获组。
Shadow DOM样式预览器 - 检查封装组件
粘贴Shadow DOM代码,直观预览封装组件内部的CSS作用域及其对外界的影响。
URL参数深度分析 - 解码并检测潜在注入
分解查询参数,高亮可能存在的SQL注入或XSS模式,辅助安全审查。
事件冒泡/捕获演示 - 交互模型可视化
嵌套的彩色方块,点击内层观察事件传播顺序,直观理解addEventListener的第三个参数。
中心极限定理模拟器 - 抽样分布演示
从任意分布中抽取样本并绘制均值分布直方图,随着样本量增大趋近正态分布。
一日徒步装备清单 - 按季节与距离生成
选择春夏秋冬与<5/10/20km,自动生成必须携带物品列表,进阶版含急救包。
敏感数据脱敏工具 - 动态掩码姓名/手机/邮箱
定义脱敏规则(如手机号中间4位星号,邮箱部分隐藏),对 JSON 或 CSV 数据执行批量掩码。
链表操作模拟 - 单向/双向链表增删改查
以节点图展示链表的插入、删除、反转等操作,直观理解指针变化。
MAC 地址厂商查询器 - OUI 前缀识别设备品牌
输入MAC地址,提取OUI前缀并匹配内置IEEE注册表,识别设备网卡制造商。
会议心情签到 - 匿名提交今日状态
团队成员在会前用温度计匿名标情绪,汇总显示利于主持人引导。
JavaScript混淆压缩工具 - 在线代码保护
对JavaScript代码进行变量重命名、字符串加密等混淆处理,增加阅读难度,保护客户端逻辑。
标准银河字母转换 - Minecraft附魔台
将普通英文转换为《我的世界》中附魔台显示的标准银河字母(Standard Galactic Alphabet)。
社区服务电话簿 - 自建常用号码库
自定义录入附近的水电工、开锁、物业等常用师傅电话,分类快速查找。
无限滚动演示 - Intersection Observer加载更多
演示如何用Intersection Observer实现滚动到底部自动加载内容的经典模式。
动态角标 Favicon 生成 - 数字气泡提醒
在 Favicon 上叠加未读消息数量的数字角标,生成相应 JS 代码。
ReDoS 正则回溯攻击检测器 - 危险模式分析
输入正则表达式,检测潜在的指数级回溯陷阱,避免服务器性能被恶意输入拖垮。
站会记录模板 - 昨天/今天/阻塞三栏
模板化记录团队成员昨日完成、今日计划与阻塞项,支持导出Markdown便于分享。
数学符号互转 - AsciiMath/LaTeX/MathML
在AsciiMath、LaTeX和MathML之间转换数学表达式,并显示渲染预览。