ClearedToShip
Obtener la autorización
medium

Cómo corregir un error de CORS (de forma segura)

El problema

La "solución" más rápida para un error de CORS —permitir todos los orígenes con un comodín— también es un agujero de seguridad: deja que cualquier sitio web llame a tu API desde el navegador de una víctima. La corrección correcta permite solo los orígenes en los que confías.

Paso a paso

  1. 1

    Entiende qué protege CORS

    CORS controla qué orígenes web pueden leer las respuestas de tu API en un navegador. Un comodín ('*') o reflejar cualquier Origin desactiva esa protección.

  2. 2

    Pon en lista de permitidos orígenes específicos

    Establece Access-Control-Allow-Origin en el origen (o los orígenes) exacto de tu frontend, por ejemplo https://app.example.com, no '*'. Mantén una lista de orígenes confiables del lado del servidor.

  3. 3

    Ten cuidado con las credenciales

    Si envías cookies, no puedes usar '*': debes devolver un origen permitido específico y establecer Access-Control-Allow-Credentials: true solo para los orígenes confiables.

  4. 4

    Verifica con nuestro verificador de CORS

    Vuelve a revisar tu endpoint para confirmar que ya no permite orígenes arbitrarios y que las solicitudes con credenciales se limitan a los orígenes en los que confías.

Relacionado:¿Es seguro Bolt?¿Es seguro v0?¿Es seguro Supabase?¿Es seguro Appwrite?

¿Quieres que lo verifiquen, no solo que lo corrijan?

Corregirlo es el primer paso. Una revisión de ClearedToShip confirma que la corrección realmente se sostiene y te entrega una autorización firmada y asegurada para lanzar. Únete al acceso anticipado:

Escaneo gratuito de preparación para el lanzamiento
Obtener mi escaneo gratis