Salt la conținut
Securitate Web

Ce este CORS?

Reguli care permit sau blocheaza cereri intre site-uri diferite

Definiție CORS

CORS (Cross-Origin Resource Sharing) este un mecanism de securitate care controleaza ce alte site-uri pot accesa resursele tale. De exemplu, daca ai un API la api.exemplu.ro, CORS decide daca site-ul altcineva.ro poate face cereri catre el. Fara CORS configurat corect, datele pot fi accesate de site-uri neautorizate.

E ca regulile de acces intr-o cladire: doar angajatii cu badge au acces, nu oricine de pe strada.

De ce contează CORS

Cross-Origin Resource Sharing controleaza ce domenii externe pot citi raspunsurile API-ului tau prin cereri AJAX. O configurare gresita CORS poate transforma orice vulnerabilitate XSS de pe alt site intr-un atac direct asupra datelor utilizatorilor tai, permitand citirea profilurilor, mesajelor sau tokenurilor de acces.

Cum verifici CORS

SoftAudit trimite cereri OPTIONS cu diverse origini si analizeaza raspunsurile Access-Control-Allow-Origin. Detecteaza configurari periculoase precum wildcard-ul * pe endpoint-uri autentificate sau reflectarea dinamica neconditionata a originii.

Verifică securitatea site-ului →

Greșeli frecvente

Reflectarea automata a oricarei origini din cerere in Access-Control-Allow-Origin fara validare este echivalentul eliminarii complete a protectiei same-origin. Alta eroare este setarea Access-Control-Allow-Credentials: true impreuna cu wildcard-ul *, ceea ce browserele modern blocheaza dar indica o configurare eronata.

Bune practici

Defineste o lista fixa de origini permise si valideaza fiecare cerere contra acestei liste, returnand 403 pentru originile necunoscute. Nu trimite Access-Control-Allow-Credentials: true decat pentru originile de incredere si limiteaza Access-Control-Max-Age la 3600 secunde pentru a permite revocarea rapida.

Verifică acum

Folosește instrumentul gratuit SoftAudit pentru a verifica cors pe site-ul tău.

Verificare Securitate — Gratuit

Întrebări frecvente

Ce este CORS?

CORS (Cross-Origin Resource Sharing) este un mecanism de securitate care controleaza ce alte site-uri pot accesa resursele tale. De exemplu, daca ai un API la api.exemplu.ro, CORS decide daca site-ul altcineva.ro poate face cereri catre el. Fara CORS configurat corect, datele pot fi accesate de site-uri neautorizate.

De ce este important CORS pentru un website?

Cross-Origin Resource Sharing controleaza ce domenii externe pot citi raspunsurile API-ului tau prin cereri AJAX. O configurare gresita CORS poate transforma orice vulnerabilitate XSS de pe alt site intr-un atac direct asupra datelor utilizatorilor tai, permitand citirea profilurilor, mesajelor sau tokenurilor de acces.

Termeni asociați

Înapoi la glosarul complet