ClearedToShip
Liberar para subir
medium

Como corrigir um erro de CORS (do jeito seguro)

O problema

A "correção" mais rápida para um erro de CORS — liberar todas as origens com um curinga — também é uma brecha de segurança: ela deixa qualquer site chamar sua API a partir do navegador de uma vítima. A correção certa libera apenas as origens em que você confia.

Passo a passo

  1. 1

    Entenda o que o CORS protege

    O CORS controla quais origens web podem ler respostas da sua API em um navegador. Um curinga ("*") ou refletir qualquer Origin desativa essa proteção.

  2. 2

    Libere origens específicas

    Defina o Access-Control-Allow-Origin com a(s) origem(ns) exata(s) do seu front-end — por exemplo https://app.example.com — e não "*". Mantenha uma lista de origens confiáveis no lado do servidor.

  3. 3

    Tenha cuidado com credenciais

    Se você envia cookies, não pode usar "*" — precisa ecoar uma origem permitida específica e definir Access-Control-Allow-Credentials: true apenas para origens confiáveis.

  4. 4

    Verifique com nosso verificador de CORS

    Recheque seu endpoint para confirmar que ele não libera mais origens arbitrárias e que as requisições com credenciais ficam limitadas às origens em que você confia.

Relacionado:O Bolt é seguro?O v0 é seguro?O Supabase é seguro?O Appwrite é seguro?

Quer ver isso verificado, não só corrigido?

Corrigir é só o primeiro passo. Uma revisão do ClearedToShip confirma que a correção realmente se sustenta e te dá uma liberação assinada e com seguro para lançar. Entre no acesso antecipado:

Varredura gratuita de prontidão para o lançamento
Quero minha varredura grátis