¿Qué es CORS y Cómo lo puedes Activar?

Share on facebook
Share on linkedin
Share on twitter
Share on whatsapp
Share on email
Las páginas web de tu sitio a menudo necesitarán iniciar solicitudes para cargar algunos recursos que se encuentran en otros servidores web. Explicaremos aquí cómo se gestiona de forma eficaz utilizando CORS. Aprenderás qué es CORS, cómo funciona y cómo puedes habilitarlo para tus sitios web.
¿Qué es CORS y Cómo se Activa?

Es posible que no sepas que las páginas web que utilizas a menudo iniciarán solicitudes para cargar fuentes, imágenes y otros recursos desde varios lugares diferentes en Internet. Es importante que los controles verifiquen estas solicitudes para que la seguridad de tu navegador no se vea comprometida.

Si no se realizan comprobaciones, es posible que experimentes un secuestro del navegador o que tu navegador se vea obligado a descargar malware u otro código malicioso. Los navegadores modernos tienen políticas de seguridad que mitigan este riesgo.

Políticas de Seguridad del Navegador

Probablemente sepas que los servidores web alojan páginas de un sitio web, imágenes, aplicaciones, fuentes y mucho más. Cuando utilizas un navegador, accederá a páginas web alojadas en diferentes servidores web. Muchos sitios web solicitan recursos para sus páginas de otros servidores ubicados en otros lugares de Internet.

Una política de seguridad del navegador muy restrictiva es “mismo origen”. Lo que esto significa es que el navegador solo aceptará solicitudes de recursos que estén almacenados en el mismo servidor que las páginas web. Un origen consta de:

  1. El host
  2. Protocolo
  3. Número de puerto

Para que funcione una misma política de navegador de origen, todas las partes del origen deben coincidir. Si este no es el caso, el navegador rechaza la solicitud del usuario. Para superar la restricción de una política de seguridad del mismo origen, existen políticas de “origen cruzado” que son mucho más flexibles.

Una política de seguridad de origen cruzado es como una combinación de ninguna política de seguridad y una política de seguridad del mismo origen. El origen cruzado se ha desarrollado a lo largo de los años y ahora existe un estándar para el intercambio de recursos de origen cruzado (CORS).

¿Qué es el Intercambio de Recursos de Origen Cruzado (CORS)?

Hay tantos sitios web que solicitan recursos desde otros servidores web que CORS es un estándar muy necesario. Si solo hubiera políticas de “mismo origen” disponibles, las páginas web solo podrían mostrar recursos almacenados en el mismo servidor web. Esto significaría que todas las imágenes utilizadas en una página deberían almacenarse en el mismo servidor web, por ejemplo.

Para que las solicitudes de origen cruzado sean seguras, los servidores deben implementar un método para manejar las solicitudes de recursos en otros servidores. Con CORS, los servidores pueden especificar qué orígenes pueden acceder a los recursos del servidor y también a otras cosas.

El uso del estándar CORS permite a los servidores especificar quién puede acceder legítimamente a sus recursos y el método necesario para acceder a ellos. Una solicitud de origen cruzado utiliza solicitudes http como GET. La mayoría de los servidores cumplirán con una solicitud http GET. Sin embargo, es probable que un servidor rechace solicitudes http como DELETE, PUT y PATCH, ya que esto podría resultar en actos maliciosos.

Cómo CORS Gestiona las Solicitudes de Origen Cruzado

Entonces, con CORS, los servidores pueden especificar las solicitudes http permitidas desde páginas web externas. CORS puede gestionar de forma eficaz las solicitudes de origen cruzado con la adición de nuevos encabezados http a la lista de encabezados estándar. Estos son esos nuevos encabezados http que comienzan con Access-Control:

  • Allow-Origin
  • Allow-Credentials
  • Allow-Headers
  • Allow-Methods
  • Expose-Headers
  • Max-Age
  • Options
  • Request-Headers
  • Request-Method

Todos estos nuevos encabezados son importantes, pero probablemente el más importante sea Allow-Origin, ya que permite a los servidores especificar exactamente cómo compartir sus recursos con sitios web externos. Entonces, por ejemplo, si un servidor recibe una solicitud GET, responde con un valor para el encabezado de CORS Allow-Origin.

En la mayoría de los casos, el servidor devolverá el valor “*”, lo que significa que cualquier dominio puede acceder a sus recursos. Si esto no es deseable, el servidor podría establecer el valor en un solo dominio o en una lista de dominios.

Es muy probable que un servidor rechace cualquier solicitud para modificar cualquier recurso que haya almacenado. Un servidor no solo negará ciegamente tal solicitud, sino que iniciará un proceso que primero verificará si dicha solicitud está permitida y luego comunicará al navegador qué tipo de solicitudes permite.

Las solicitudes para modificar los recursos son de preflight (verificación previa) y utilizan el encabezado de options (opciones) de CORS. Cualquier solicitud de verificación previa se envía antes de las solicitudes originales. La razón de esto es que una solicitud de verificación previa determina si la solicitud original es segura o no.

Por tanto, si un servidor identifica una solicitud original segura, la permitirá. Si la solicitud original es DELETE, por ejemplo, la respuesta preflight (verificación previa) denegará la solicitud original. También es probable que los encabezados del navegador modificados activen solicitudes de verificación previa.

Cómo Habilitar CORS

La habilitación de los encabezados de solicitud para el estándar CORS depende del marco y el idioma del backend. Lee este excelente recurso sobre cómo activar CORS en tu cuenta de alojamiento web.

Si tienes una cuenta de hospedaje web premium con nosotros, estaremos encantados de ayudarle a habilitar CORS. Consulta nuestros paquetes de alojamiento web premium si actualmente no alojas tus sitios web con nosotros.

Ofrecemos alojamiento web en servidores de vanguardia que proporciona cargas de páginas a alta velocidad. La seguridad de tus sitios web es una de nuestras principales preocupaciones, por ello todos nuestros paquetes incluyen Imunify360 para mantener tus sitios web a salvo de amenazas y malware.

Puedes beneficiarse de muchas otras funciones con nuestro alojamiento web premium asequible. Consulta nuestros paquetes de alojamiento web de alta calidad.

CUOTA:

Share on facebook
Share on linkedin
Share on twitter
Share on whatsapp
Share on email

Tabla de contenido

Artículos Recientes

Usted también puede estar interesado

Evita Que Tus Sitios de WordPress se Utilicen Para Phishing o Spam

WordPress es el sistema de gestión de contenido (CMS) más popular del mundo por muchas muy buenas razones. Puedes configurar un nuevo sitio de WordPress en un nombre de dominio muy rápido en estos días con el software de instalación de un clic que está disponible en cPanel con tu servicio de alojamiento web premium.

Usando Tus Emails de Dominio En La Interface De Gmail

¿Tienes una cuenta de Gmail? ¿Te gustaría acceder a las direcciones de correo electrónico de tus dominios a través de la interfaz de Gmail? Gmail es muy popular y tiene millones de usuarios. A las personas les gusta la interfaz de Gmail y están felices de usarla para acceder a los correos electrónicos recibidos en sus direcciones de correo electrónico de Gmail.

Cómo Acceder a una Instalación de WordPress con una URL Temporal

Muchos clientes nuevos nos preguntan cómo pueden probar una instalación de WordPress que han estado alojando en otro lugar y ahora quieren migrar y probarlo previamente en nuestros servicios de Alojamiento Premium antes de apuntar definitivamente el dominio a nuestros servidores. No pueden encontrar la manera de cómo hacer esto porque las instalaciones de WordPress se basan en dominios.