ÓrbitaHuella observable · solo pasivo
Desarrollador trabajando en codigo de aplicacion web
← Volver al blog
Headers4 min de lectura

CORS demasiado permisivo: tu API confia en cualquier origen

Access-Control-Allow-Origin: * en APIs con cookies o tokens facilita robo de datos desde sitios maliciosos.

Por Equipo Órbita

  • #CORS
  • #API
  • #browser

El problema

Equipos habilitan CORS amplio para integraciones rapidas y nunca lo endurecen. Un sitio atacante puede leer respuestas autenticadas del navegador de la victima.

Impacto en tu negocio

Exfiltracion de datos de sesion, acciones no autorizadas y violaciones de politica de origen cruzado.

Recomendaciones prácticas

  1. 1

    Lista explicitamente origenes permitidos; evita wildcard con credenciales.

  2. 2

    Separa APIs publicas de APIs autenticadas con politicas distintas.

  3. 3

    Revisa headers_http en tu escaneo y corrige Access-Control mal configurado.

Valida tu postura en minutos

Ejecuta un an\u00e1lisis pasivo sobre tu dominio y contrasta estos hallazgos con tu configuraci\u00f3n real.

Ejecutar an\u00e1lisis pasivo →

Sigue leyendo

Artículos relacionados

Boletín

Un plan defensivo en lenguaje claro

Píldoras sobre errores públicos repetidos SPF/DMARC, HTTPS y huella observable, con pasos concretos para equipos PYME sin CISO permanente — sin prometer SOC ni cobertura completa en la bandeja de entrada.