Et la sécurité ? N'est-ce pas du SSRF ?

**Nous nous protégeons contre le SSRF** : nous bloquons les adresses privées (**10.x**, **172.16-31.x**, **192.168.x**), loopback (**127.0.0.0/8**, **::1**), link-local (**169.254.0.0/16**, où se trouvent les services de métadonnées AWS / Azure / GCP), carrier-grade NAT (**100.64.0.0/10**), ULA IPv6 (**fc00::/7**). L'hôte est **résolu côté serveur** et chaque IP retournée est vérifiée **avant** le fetch (cela protège contre le **DNS rebinding**). Seuls **http:// et https://** sont autorisés.

Quelles sont les limites ?

**15 secondes** par requête (par saut), **5 Mo** de corps de réponse (au-delà, tronqué), **50 requêtes par heure** par IP, **10 redirections** maximum. Ces limites couvrent **99 % du debug d'API**. Pour les gros fichiers, utilisez curl en local.

Stockez-vous mes requêtes ou réponses ?

**Non**. Nous ne loguons ni URL, ni en-têtes, ni corps, ni réponses. Le seul état dans le processus est le **compteur de requêtes par IP** (pour le rate limiting), remis à zéro toutes les heures ou au redémarrage du serveur. **Rien n'est persisté sur disque**.

Que signifie « TTFB » dans le détail des temps ?

**Time To First Byte** : temps entre l'envoi de la requête et l'arrivée du **premier octet des en-têtes de réponse**. TTFB élevé (>500 ms) = **le serveur est lent à générer la réponse** (base de données ? cache miss ? API lente ?). Bas (<100 ms) = le serveur est en bonne forme.

Pourquoi ne vois-je pas séparément les temps de TCP connect et de TLS handshake ?

Parce que **Node fetch (undici) ne les expose pas publiquement**. Nous mesurons : **DNS** séparément (via `dns.lookup`), puis **TTFB** (début fetch → en-têtes) et **transfer** (en-têtes → fin du corps). Connect + TLS sont **englobés dans TTFB**. Pour des nombres précis, utilisez **curl -w "%{time_connect} %{time_appconnect}"** en local.

Puis-je téléverser des fichiers (multipart/form-data) ?

**Partiellement**. Champs texte **oui** (l'onglet form-data fournit des lignes clé/valeur). **Pièces jointes binaires** non prises en charge dans cette version : cela impliquerait de téléverser des fichiers sur notre serveur, ce que nous voulons éviter pour des raisons de confidentialité. Pour de vrais uploads de fichiers, utilisez **curl** en local.

Et les réponses gzippées ?

Les serveurs répondent souvent avec **Content-Encoding: gzip** (ou br / deflate). Nous affichons les deux tailles : **compressée** (à partir de l'en-tête `Content-Length`, octets sur le fil) et **décompressée** (ce que vous récupérez après que Node l'a automatiquement décodée). Le ratio = taux de compression.

Que signifie « blocked: privateHost » dans la chaîne de redirection ?

Un des en-têtes `Location` dans la séquence 3xx pointait vers une **adresse privée** (par exemple votre backend d'API a renvoyé `Location: http://10.0.0.1/admin`). **Nous stoppons la chaîne immédiatement** pour ne jamais atteindre un réseau interne. Même protection SSRF que pour la première URL.

Testeur requêtes HTTP - gratuit

curl dans le navigateur : pas de Postman, pas de CORS

Saisissez une URL, choisissez GET / POST / PUT, ajoutez des en-têtes et un corps, cliquez. La requête part de notre serveur, donc CORS ne bloque pas et vous n'avez pas besoin d'installer Postman.

Vous obtenez le code de statut, les en-têtes de réponse, le corps (JSON / XML / HTML auto-formaté), la taille (compressée + décompressée), les set-cookie ainsi que le détail des temps : DNS / TTFB / transfert.

Idéal pour le debug d'API : webhooks, OAuth, endpoints tiers, vérification des en-têtes de cache ou de CORS, sans quitter le navigateur.

Mode d'emploi

Choisissez la méthode (GET / POST / PUT / PATCH / DELETE / HEAD / OPTIONS) sur la barre du haut.
Collez l'URL cible (elle doit commencer par https:// ou http://).
Dans l'onglet Headers, ajoutez vos en-têtes (par exemple Accept: application/json, X-API-Key).
Dans l'onglet Body, choisissez un format : JSON, form-data, x-www-form-urlencoded ou raw. Saisissez les données.
Dans l'onglet Auth, choisissez Basic (utilisateur + mot de passe) ou Bearer (token). L'en-tête Authorization est construit automatiquement.
Cliquez sur Send. À droite, vous voyez le statut, les en-têtes, le corps, les temps et les cookies.
Activez Follow redirects uniquement quand vous voulez voir toute la chaîne 3xx → 200. Chaque redirection est revalidée contre les SSRF avant que nous la suivions.

Quand c'est utile

Un testeur de requêtes HTTP résout les problèmes quotidiens du frontend et du backend :

Debug d'API. L'endpoint répond-il seulement ? Renvoie-t-il ce que la doc promet ? Un seul tir, vue complète.
CORS que le fetch du navigateur ne peut pas franchir. Votre fetch dans les devtools déclenche une erreur CORS ? Depuis notre serveur, CORS n'existe pas : vous voyez la vraie réponse serveur, pas l'enveloppe du navigateur autour de l'erreur.
Récepteurs de webhooks. POST vers votre propre webhook, voyez ce qui arrive et sous quelle forme.
Tokens OAuth / Bearer. Vérifier si le token est valide : GET /me avec Authorization: Bearer ... et lire la réponse.
Basic Auth. Sonder les endpoints derrière du Basic (panneaux admin, API legacy).
Triage de performance. TTFB trop élevé ? Transfer plus long qu'attendu ? Vous le voyez décomposé.
Chaînes de redirections. Un domaine fait 3 sauts avant la page ? La liste des sauts les montre chacun.
Vérification des en-têtes de cache. Cache-Control, ETag, Last-Modified : liste complète des en-têtes de réponse.
OPTIONS preflight. Preflight CORS avec un vrai Origin et Access-Control-Request-Method, pour voir exactement ce que votre serveur renvoie.

Lié : capturez les webhooks entrants dans le récepteur de webhooks, simulez des réponses avec le générateur de mock API, ou générez des types de requête directement depuis une spec OpenAPI.

Questions et réponses

Parce que les navigateurs bloquent les requêtes cross-origin (CORS). Depuis notre serveur, CORS ne s'applique pas : c'est un fetch ordinaire depuis Node.js. En prime, certains serveurs renvoient des en-têtes différents à un navigateur qu'à curl/Node (par exemple gating sur User-Agent), vous voyez donc la vraie réponse, pas la version polie pour navigateurs.

curl dans le navigateur : pas de Postman, pas de CORS

Idéal pour le debug d'API : webhooks, OAuth, endpoints tiers, vérification des en-têtes de cache ou de CORS, sans quitter le navigateur.

Mode d'emploi

Choisissez la méthode (GET / POST / PUT / PATCH / DELETE / HEAD / OPTIONS) sur la barre du haut.

Collez l'URL cible (elle doit commencer par https:// ou http://).

Dans l'onglet Headers, ajoutez vos en-têtes (par exemple Accept: application/json, X-API-Key).

Dans l'onglet Body, choisissez un format : JSON, form-data, x-www-form-urlencoded ou raw. Saisissez les données.

Dans l'onglet Auth, choisissez Basic (utilisateur + mot de passe) ou Bearer (token). L'en-tête Authorization est construit automatiquement.

Cliquez sur Send. À droite, vous voyez le statut, les en-têtes, le corps, les temps et les cookies.

Activez Follow redirects uniquement quand vous voulez voir toute la chaîne 3xx → 200. Chaque redirection est revalidée contre les SSRF avant que nous la suivions.

Quand c'est utile

Un testeur de requêtes HTTP résout les problèmes quotidiens du frontend et du backend :

Debug d'API. L'endpoint répond-il seulement ? Renvoie-t-il ce que la doc promet ? Un seul tir, vue complète.
CORS que le fetch du navigateur ne peut pas franchir. Votre fetch dans les devtools déclenche une erreur CORS ? Depuis notre serveur, CORS n'existe pas : vous voyez la vraie réponse serveur, pas l'enveloppe du navigateur autour de l'erreur.
Récepteurs de webhooks. POST vers votre propre webhook, voyez ce qui arrive et sous quelle forme.
Tokens OAuth / Bearer. Vérifier si le token est valide : GET /me avec Authorization: Bearer ... et lire la réponse.
Basic Auth. Sonder les endpoints derrière du Basic (panneaux admin, API legacy).
Triage de performance. TTFB trop élevé ? Transfer plus long qu'attendu ? Vous le voyez décomposé.
Chaînes de redirections. Un domaine fait 3 sauts avant la page ? La liste des sauts les montre chacun.
Vérification des en-têtes de cache. Cache-Control, ETag, Last-Modified : liste complète des en-têtes de réponse.
OPTIONS preflight. Preflight CORS avec un vrai Origin et Access-Control-Request-Method, pour voir exactement ce que votre serveur renvoie.

Lié : capturez les webhooks entrants dans le récepteur de webhooks, simulez des réponses avec le générateur de mock API, ou générez des types de requête directement depuis une spec OpenAPI.

Questions et réponses

Testeur requêtes HTTP

curl dans le navigateur : pas de Postman, pas de CORS

Mode d'emploi

Quand c'est utile

Questions et réponses

Outils similaires

Décodeur JWT

Testeur regex

Formateur JSON

Testeur requêtes HTTP

curl dans le navigateur : pas de Postman, pas de CORS

Mode d'emploi

Quand c'est utile

Questions et réponses

Outils similaires

Décodeur JWT

Testeur regex

Formateur JSON