Featured image of post HTTP Headers de seguridad y CORSFeatured image of post HTTP Headers de seguridad y CORS

HTTP Headers de seguridad y CORS

Understand preflight checks, origin checks, and backend settings like Access-Control-Allow-Origin to fix CORS.

Las cabeceras HTTP de seguridad protegen contra ataques comunes. CORS controla qué dominios pueden acceder a tus recursos desde el navegador.

Cabeceras de seguridad esenciales

X-Content-Type-Options: nosniff, X-Frame-Options: DENY, X-XSS-Protection: 0 (obsoleto). Referrer-Policy, Permissions-Policy.

CORS (Cross-Origin Resource Sharing)

Controla qué orígenes pueden leer respuestas de tu API. Access-Control-Allow-Origin, -Methods, -Headers. Preflight con OPTIONS para solicitudes complejas.

CORS en APIs

Para APIs públicas: Access-Control-Allow-Origin: *. Para APIs privadas: lista blanca de orígenes. Credenciales requieren Allow-Credentials: true y origen específico.

Errores comunes

No configurar CORS en APIs internas. Usar * con credenciales (inválido). No manejar preflight correctamente. Headers CORS en todas las respuestas.