Wie steht es mit Security? Ist das nicht SSRF?

**Wir wehren SSRF ab**: wir blockieren private Adressen (**10.x**, **172.16-31.x**, **192.168.x**), Loopback (**127.0.0.0/8**, **::1**), Link-Local (**169.254.0.0/16**, wo AWS / Azure / GCP Metadata-Services sitzen), Carrier-Grade-NAT (**100.64.0.0/10**), IPv6 ULA (**fc00::/7**). Der Host wird **auf dem Server aufgeloest**, und jede zurueckgegebene IP wird **vor** dem Fetch geprueft (das schuetzt vor **DNS-Rebinding**). Nur **http:// und https://** sind erlaubt.

**15 Sekunden** pro Request (pro Hop), **5 MB** Response-Body (alles Groessere wird abgeschnitten), **50 Requests pro Stunde** pro IP, maximal **10 Redirects**. Diese Limits decken **99 % vom API-Debugging** ab. Fuer riesige Dateien nimm lokales curl.

Speichert ihr meine Requests oder Responses?

**Nein.** Wir loggen keine URLs, Header, Bodies oder Responses. Der einzige State im Prozess ist der **Per-IP-Request-Counter** (fuers Rate-Limit), zuruecksetzt stuendlich oder beim Server-Restart. **Nichts wird auf Disk persistiert.**

Was bedeutet "TTFB" im Timing-Breakdown?

**Time To First Byte**, die Zeit vom Absenden des Requests bis zum Eintreffen des **ersten Bytes der Response-Header**. Hohes TTFB (>500 ms) = **der Server braucht lange, um die Response zu generieren** (Datenbank? Cache-Miss? langsame API?). Niedrig (<100 ms) = der Server ist gesund.

Warum sehe ich keine separaten TCP-Connect- und TLS-Handshake-Zeiten?

Weil **Node-Fetch (undici) sie nicht oeffentlich exponiert**. Wir messen: **DNS** separat (via `dns.lookup`), dann **TTFB** (Fetch-Start -> Header) und **Transfer** (Header -> Body komplett). Connect + TLS sind **innerhalb des TTFB gebuendelt**. Fuer genaue Zahlen nutze **curl -w "%{time_connect} %{time_appconnect}"** lokal.

Kann ich Dateien hochladen (multipart/form-data)?

**Teilweise.** Textfelder **ja** (der Form-Data-Tab gibt dir Key/Value-Zeilen). **Binaere Anhaenge** werden in dieser Version nicht unterstuetzt, das wuerde Datei-Upload auf unseren Server bedeuten, was wir aus Datenschutzgruenden nicht wollen. Fuer echte File-Uploads nutze **curl** lokal.

Was ist mit gzip-komprimierten Responses?

Server antworten oft mit **Content-Encoding: gzip** (oder br / deflate). Wir zeigen beide Groessen: **komprimiert** (aus dem `Content-Length`-Header, Bytes auf der Leitung) und **dekomprimiert** (was du bekommst, nachdem Node automatisch dekodiert). Das Verhaeltnis = Kompressionsrate.

Was heisst "blocked: privateHost" in der Redirect-Kette?

Einer der `Location`-Header in der 3xx-Sequenz zeigte auf eine **private Adresse** (z. B. dein API-Backend gab `Location: http://10.0.0.1/admin` zurueck). **Wir stoppen die Kette dort**, damit wir nie ein internes Netzwerk erreichen. Derselbe SSRF-Schutz wie fuer die erste URL.

HTTP Request Tester - kostenlos

HTTP-Request-Tester

Gib eine URL ein, wähle eine Methode, füge Header, Body, Auth hinzu - klicke Senden. Die Anfrage geht von unserem Server (nicht aus deinem Browser, daher blockiert CORS nicht). Du erhältst den Status, Response-Header, Body, vollständiges Timing und die Redirect-Kette.

Deine HTTP-Anfrage wird von unserem Server gesendet, nicht aus deinem Browser (sie umgeht CORS). Wir speichern weder Anfrage noch Antwort.

Curl im Browser - kein Postman, kein CORS

URL eintippen, GET / POST / PUT waehlen, Header und Body ergaenzen, klicken. Die Anfrage geht von unserem Server, also kein CORS-Block und kein Postman-Installieren noetig.

Du bekommst den Statuscode, Response-Header, Body (auto-formatiertes JSON / XML / HTML), Size (komprimiert + dekomprimiert), Set-Cookie plus den Timing-Breakdown: DNS / TTFB / Transfer.

Super fuer API-Debugging: Webhooks, OAuth, Drittanbieter-Endpoints, Pruefung von Cache- oder CORS-Headern, ohne den Browser zu verlassen.

So benutzt du es

Methode waehlen (GET / POST / PUT / PATCH / DELETE / HEAD / OPTIONS) in der oberen Leiste.

Die Ziel-URL einfuegen (muss mit https:// oder http:// beginnen).

Im Tab Headers eigene Header ergaenzen (z. B. Accept: application/json, X-API-Key).

Im Tab Body ein Format waehlen: JSON, form-data, x-www-form-urlencoded oder raw. Die Daten eintippen.

Im Tab Auth Basic (User + Passwort) oder Bearer (Token) waehlen. Der Authorization-Header wird automatisch gebaut.

Send druecken. Rechts siehst du Status, Header, Body, Timing und Cookies.

Follow redirects nur einschalten, wenn du die ganze 3xx -> 200-Kette sehen willst. Jeder Redirect wird vor dem Folgen erneut auf SSRF geprueft.

Wann das nuetzlich ist

Ein HTTP-Request-Tester loest Alltagsprobleme im Frontend und Backend:

API-Debugging. Antwortet der Endpoint ueberhaupt? Liefert er, was die Doku verspricht? Ein Schuss, volles Bild.
CORS, das Browser-fetch nicht knackt. Dein fetch in DevTools wirft einen CORS-Fehler? Von unserem Server existiert CORS nicht, du siehst die echte Server-Response, nicht die Browser-Verpackung um den Fehler.
Webhook-Empfaenger. POST an deinen eigenen Webhook, sieh, was ankommt und in welcher Form.
OAuth / Bearer-Tokens. Pruefe, ob das Token gueltig ist, GET /me mit Authorization: Bearer ... und lies die Response.
Basic Auth. Endpoints hinter Basic anpieksen (Admin-Panels, Legacy-APIs).
Performance-Triage. TTFB zu hoch? Transfer laenger als erwartet? Du siehst es aufgeschluesselt.
Redirect-Ketten. Macht die Domain 3 Hops vor der Seite? Die Hop-Liste zeigt jeden.
Cache-Header-Checks. Cache-Control, ETag, Last-Modified, volle Response-Header-Liste.
OPTIONS-Preflight. CORS-Preflight mit echtem Origin und Access-Control-Request-Method, damit du siehst, was dein Server genau zurueckgibt.

Verwandt: eingehende Webhooks im Webhook-Empfaenger abfangen, Antworten im Mock-API-Generator stubben oder Request-Typen direkt aus einer OpenAPI-Spec generieren.

Fragen und Antworten

Weil Browser Cross-Origin-Requests blockieren (CORS). Von unserem Server gilt CORS nicht, es ist ein normaler Fetch aus Node.js. Plus: manche Server liefern einem Browser andere Header als curl/Node (z. B. User-Agent-Gating), du siehst also die echte Response, nicht die hoefliche fuer Browser.

Curl im Browser - kein Postman, kein CORS

URL eintippen, GET / POST / PUT waehlen, Header und Body ergaenzen, klicken. Die Anfrage geht von unserem Server, also kein CORS-Block und kein Postman-Installieren noetig.

Super fuer API-Debugging: Webhooks, OAuth, Drittanbieter-Endpoints, Pruefung von Cache- oder CORS-Headern, ohne den Browser zu verlassen.

So benutzt du es

Methode waehlen (GET / POST / PUT / PATCH / DELETE / HEAD / OPTIONS) in der oberen Leiste.

Die Ziel-URL einfuegen (muss mit https:// oder http:// beginnen).

Im Tab Headers eigene Header ergaenzen (z. B. Accept: application/json, X-API-Key).

Im Tab Body ein Format waehlen: JSON, form-data, x-www-form-urlencoded oder raw. Die Daten eintippen.

Im Tab Auth Basic (User + Passwort) oder Bearer (Token) waehlen. Der Authorization-Header wird automatisch gebaut.

Send druecken. Rechts siehst du Status, Header, Body, Timing und Cookies.

Follow redirects nur einschalten, wenn du die ganze 3xx -> 200-Kette sehen willst. Jeder Redirect wird vor dem Folgen erneut auf SSRF geprueft.

Wann das nuetzlich ist

Ein HTTP-Request-Tester loest Alltagsprobleme im Frontend und Backend:

API-Debugging. Antwortet der Endpoint ueberhaupt? Liefert er, was die Doku verspricht? Ein Schuss, volles Bild.
CORS, das Browser-fetch nicht knackt. Dein fetch in DevTools wirft einen CORS-Fehler? Von unserem Server existiert CORS nicht, du siehst die echte Server-Response, nicht die Browser-Verpackung um den Fehler.
Webhook-Empfaenger. POST an deinen eigenen Webhook, sieh, was ankommt und in welcher Form.
OAuth / Bearer-Tokens. Pruefe, ob das Token gueltig ist, GET /me mit Authorization: Bearer ... und lies die Response.
Basic Auth. Endpoints hinter Basic anpieksen (Admin-Panels, Legacy-APIs).
Performance-Triage. TTFB zu hoch? Transfer laenger als erwartet? Du siehst es aufgeschluesselt.
Redirect-Ketten. Macht die Domain 3 Hops vor der Seite? Die Hop-Liste zeigt jeden.
Cache-Header-Checks. Cache-Control, ETag, Last-Modified, volle Response-Header-Liste.
OPTIONS-Preflight. CORS-Preflight mit echtem Origin und Access-Control-Request-Method, damit du siehst, was dein Server genau zurueckgibt.

Verwandt: eingehende Webhooks im Webhook-Empfaenger abfangen, Antworten im Mock-API-Generator stubben oder Request-Typen direkt aus einer OpenAPI-Spec generieren.

Fragen und Antworten

HTTP Request Tester

Curl im Browser - kein Postman, kein CORS

So benutzt du es

Wann das nuetzlich ist

Fragen und Antworten

Passende Tools

JWT Decoder

Regex-Tester

JSON-Formatter

HTTP Request Tester

Curl im Browser - kein Postman, kein CORS

So benutzt du es

Wann das nuetzlich ist

Fragen und Antworten

Passende Tools

JWT Decoder

Regex-Tester

JSON-Formatter