Las cabeceras HTTP de seguridad protegen contra ataques comunes. CORS controla qué dominios pueden acceder a tus recursos desde el navegador.
Cabeceras de seguridad esenciales
X-Content-Type-Options: nosniff, X-Frame-Options: DENY, X-XSS-Protection: 0 (obsoleto). Referrer-Policy, Permissions-Policy.
CORS (Cross-Origin Resource Sharing)
Controla qué orígenes pueden leer respuestas de tu API. Access-Control-Allow-Origin, -Methods, -Headers. Preflight con OPTIONS para solicitudes complejas.
CORS en APIs
Para APIs públicas: Access-Control-Allow-Origin: *. Para APIs privadas: lista blanca de orígenes. Credenciales requieren Allow-Credentials: true y origen específico.
Errores comunes
No configurar CORS en APIs internas. Usar * con credenciales (inválido). No manejar preflight correctamente. Headers CORS en todas las respuestas.

