Co z bezpieczeństwem? Czy to nie jest SSRF?

**Zabezpieczamy się przed SSRF**: blokujemy adresy prywatne (**10.x**, **172.16-31.x**, **192.168.x**), loopback (**127.0.0.0/8**, **::1**), link-local (**169.254.0.0/16** - tu siedzą metadata services AWS / Azure / GCP), carrier-grade NAT (**100.64.0.0/10**), IPv6 ULA (**fc00::/7**). Host **rozwiązujemy serwerowo** i sprawdzamy wszystkie zwrócone IP **przed** wykonaniem fetcha (chroni to przed **DNS rebinding**). Dozwolone są **tylko http:// i https://**.

**15 sekund** na cały request (jeden skok), **5 MB** na body odpowiedzi (większe jest obcinane), **50 zapytań na godzinę** z jednego IP, **10 przekierowań** maksymalnie. Te limity wystarczą do **99% przypadków debugowania API**. Jeśli musisz strzelać do dużych plików - użyj lokalnego curla.

Czy zapisujecie moje zapytania albo odpowiedzi?

**Nie**. Żadnego logowania URL, headerów, body, odpowiedzi. Jedyne, co trzymamy w pamięci procesu, to **licznik zapytań per IP** (do rate limitu), resetowany co godzinę albo po restarcie serwera. **Nigdzie nie zapisujemy danych na dysk**.

Co znaczy "TTFB" w timingu?

**Time To First Byte** - czas od momentu wysłania zapytania do otrzymania **pierwszego bajtu nagłówków odpowiedzi**. Wysokie TTFB (>500 ms) = **serwer wolno generuje odpowiedź** (baza danych? cache miss? wolne API?). Niskie (<100 ms) = serwer jest sprawny.

Czemu nie widzę osobnych czasów TCP connect i TLS handshake?

Bo **Node fetch (undici) ich nie udostępnia publicznie**. Mierzymy: **DNS** osobno (przez `dns.lookup`), potem **TTFB** (start fetcha → nagłówki) i **transfer** (nagłówki → koniec body). Connect + TLS są **schowane wewnątrz TTFB**. Dla precyzyjnego pomiaru użyj **curl -w "%{time_connect} %{time_appconnect}"** lokalnie.

Czy mogę wysyłać pliki (multipart/form-data)?

**Częściowo**. Pola tekstowe **tak** (zakładka "form-data" daje klucz/wartość). **Załączniki binarne** w obecnej wersji nie - to wymaga uploadu pliku do naszego serwera, czego nie chcemy z powodów prywatności. Jeśli musisz wysłać plik, skorzystaj z **curl** lokalnie.

Co z gzipped odpowiedziami?

Serwery często odpowiadają **Content-Encoding: gzip** (albo br / deflate). Pokazujemy oba rozmiary: **skompresowany** (z nagłówka `Content-Length` - tyle leci po sieci) i **rozpakowany** (tyle dostajesz po dekompresji, którą Node robi automatycznie). Stosunek = współczynnik kompresji.

Co znaczy "blocked: privateHost" w łańcuchu przekierowań?

Któryś z linków `Location` w sekwencji 3xx wskazywał na **adres prywatny** (np. backend twojego API zwrócił `Location: http://10.0.0.1/admin`). **Zatrzymujemy łańcuch w tym miejscu**, żeby nie iść do sieci wewnętrznej. To samo zabezpieczenie SSRF, co dla pierwszego URL.

Tester zapytań HTTP - darmowy

Tester zapytań HTTP

Wpisz URL, wybierz metodę, dodaj nagłówki, body, autoryzację - klik. Zapytanie idzie z naszego serwera (nie z przeglądarki, więc CORS nie blokuje). Dostajesz status, nagłówki odpowiedzi, body, pełny timing i listę przekierowań.

Twoje zapytanie HTTP jest wysyłane z naszego serwera, nie z Twojej przeglądarki (omija CORS). Nie zapisujemy treści ani odpowiedzi.

Curl w przeglądarce - bez Postmana i bez CORS

Wpisujesz URL, wybierasz GET / POST / PUT, dodajesz nagłówki i body - klik. Zapytanie idzie z naszego serwera, więc CORS nie blokuje i nie musisz instalować Postmana.

Dostajesz kod statusu, nagłówki odpowiedzi, body (z auto-formatowaniem JSON / XML / HTML), rozmiar (skompresowany i rozpakowany), set-cookie oraz timing: DNS / TTFB / transfer.

Świetne do debugowania API: webhooków, OAuth, zewnętrznych endpointów, sprawdzania nagłówków cache czy CORS - bez wychodzenia z przeglądarki.

Jak korzystać

Wybierz metodę (GET / POST / PUT / PATCH / DELETE / HEAD / OPTIONS) na pasku u góry.

Wklej URL docelowy (musi mieć https:// lub http://).

W zakładce Headers dodaj własne nagłówki (np. Accept: application/json, X-API-Key).

W zakładce Body wybierz format: JSON, form-data, x-www-form-urlencoded albo raw. Wpisz dane.

W zakładce Auth wybierz Basic (login + hasło) albo Bearer (token). Nagłówek Authorization zostanie zbudowany automatycznie.

Kliknij Send. Po prawej zobaczysz status, nagłówki, body, timing i ciasteczka.

Follow redirects włącz tylko, jeśli chcesz zobaczyć całą ścieżkę 3xx → 200. Każde przekierowanie jest sprawdzane pod kątem SSRF zanim wykonamy skok.

Do czego się przydaje

Tester zapytań HTTP rozwiązuje codzienne problemy frontendowca i backendowca:

Debugowanie API. Czy endpoint w ogóle odpowiada? Czy zwraca to, co dokumentacja obiecuje? Strzelasz raz, widzisz wszystko.
CORS, którego nie pokona browser fetch. Twój fetch w devtools rzuca CORS error? Z naszego serwera CORS nie istnieje - zobaczysz prawdziwą odpowiedź serwera, nie błąd przeglądarki.
Webhook receivery. Strzelasz POST do swojego webhooka, sprawdzasz co dochodzi i w jakim formacie.
OAuth / Bearer tokens. Sprawdzasz, czy token jest ważny - GET /me z Authorization: Bearer ... i widzisz odpowiedź.
Basic Auth. Sprawdzasz endpointy chronione Basic (admin panele, stare API).
Diagnostyka wydajności. TTFB za wysoki? Transfer dłuższy niż powinien? Widzisz po kolei.
Redirect chains. Domena ma 3 przekierowania zanim trafi do strony? Lista skoków pokaże każdy z nich.
Sprawdzanie headerów cache. Cache-Control, ETag, Last-Modified - pełna lista nagłówków odpowiedzi.
OPTIONS preflight. CORS preflight z prawdziwym Origin i Access-Control-Request-Method, żebyś zobaczył co dokładnie zwraca twój serwer.

Powiązane: do łapania webhooków masz odbiornik webhook, do mockowania odpowiedzi generator mock API, a typy żądań wygenerujesz prosto ze specyfikacji w OpenAPI → TypeScript.

Pytania i odpowiedzi

Bo przeglądarki blokują cross-origin requesty (CORS). Z naszego serwera CORS nie ma zastosowania - to zwykły fetch z Node.js. Plus: niektóre serwery zwracają inne nagłówki dla browsera niż dla curl/Node (np. User-Agent gating), więc widzisz prawdziwą odpowiedź, nie "uprzejmą" wersję dla przeglądarki.

Curl w przeglądarce - bez Postmana i bez CORS

Wpisujesz URL, wybierasz GET / POST / PUT, dodajesz nagłówki i body - klik. Zapytanie idzie z naszego serwera, więc CORS nie blokuje i nie musisz instalować Postmana.

Świetne do debugowania API: webhooków, OAuth, zewnętrznych endpointów, sprawdzania nagłówków cache czy CORS - bez wychodzenia z przeglądarki.

Jak korzystać

Wybierz metodę (GET / POST / PUT / PATCH / DELETE / HEAD / OPTIONS) na pasku u góry.

Wklej URL docelowy (musi mieć https:// lub http://).

W zakładce Headers dodaj własne nagłówki (np. Accept: application/json, X-API-Key).

W zakładce Body wybierz format: JSON, form-data, x-www-form-urlencoded albo raw. Wpisz dane.

W zakładce Auth wybierz Basic (login + hasło) albo Bearer (token). Nagłówek Authorization zostanie zbudowany automatycznie.

Kliknij Send. Po prawej zobaczysz status, nagłówki, body, timing i ciasteczka.

Follow redirects włącz tylko, jeśli chcesz zobaczyć całą ścieżkę 3xx → 200. Każde przekierowanie jest sprawdzane pod kątem SSRF zanim wykonamy skok.

Do czego się przydaje

Tester zapytań HTTP rozwiązuje codzienne problemy frontendowca i backendowca:

Debugowanie API. Czy endpoint w ogóle odpowiada? Czy zwraca to, co dokumentacja obiecuje? Strzelasz raz, widzisz wszystko.
CORS, którego nie pokona browser fetch. Twój fetch w devtools rzuca CORS error? Z naszego serwera CORS nie istnieje - zobaczysz prawdziwą odpowiedź serwera, nie błąd przeglądarki.
Webhook receivery. Strzelasz POST do swojego webhooka, sprawdzasz co dochodzi i w jakim formacie.
OAuth / Bearer tokens. Sprawdzasz, czy token jest ważny - GET /me z Authorization: Bearer ... i widzisz odpowiedź.
Basic Auth. Sprawdzasz endpointy chronione Basic (admin panele, stare API).
Diagnostyka wydajności. TTFB za wysoki? Transfer dłuższy niż powinien? Widzisz po kolei.
Redirect chains. Domena ma 3 przekierowania zanim trafi do strony? Lista skoków pokaże każdy z nich.
Sprawdzanie headerów cache. Cache-Control, ETag, Last-Modified - pełna lista nagłówków odpowiedzi.
OPTIONS preflight. CORS preflight z prawdziwym Origin i Access-Control-Request-Method, żebyś zobaczył co dokładnie zwraca twój serwer.

Powiązane: do łapania webhooków masz odbiornik webhook, do mockowania odpowiedzi generator mock API, a typy żądań wygenerujesz prosto ze specyfikacji w OpenAPI → TypeScript.

Pytania i odpowiedzi

Tester zapytań HTTP

Curl w przeglądarce - bez Postmana i bez CORS

Jak korzystać

Do czego się przydaje

Pytania i odpowiedzi

Powiązane narzędzia

Dekoder JWT

Tester wyrażeń regularnych

Formatter JSON

Tester zapytań HTTP

Curl w przeglądarce - bez Postmana i bez CORS

Jak korzystać

Do czego się przydaje

Pytania i odpowiedzi

Powiązane narzędzia

Dekoder JWT

Tester wyrażeń regularnych

Formatter JSON