Ce este CORS?
Reguli care permit sau blocheaza cereri intre site-uri diferite
Definiție CORS
CORS (Cross-Origin Resource Sharing) este un mecanism de securitate care controleaza ce alte site-uri pot accesa resursele tale. De exemplu, daca ai un API la api.exemplu.ro, CORS decide daca site-ul altcineva.ro poate face cereri catre el. Fara CORS configurat corect, datele pot fi accesate de site-uri neautorizate.
E ca regulile de acces intr-o cladire: doar angajatii cu badge au acces, nu oricine de pe strada.
De ce contează CORS
Cross-Origin Resource Sharing controleaza ce domenii externe pot citi raspunsurile API-ului tau prin cereri AJAX. O configurare gresita CORS poate transforma orice vulnerabilitate XSS de pe alt site intr-un atac direct asupra datelor utilizatorilor tai, permitand citirea profilurilor, mesajelor sau tokenurilor de acces.
Cum verifici CORS
SoftAudit trimite cereri OPTIONS cu diverse origini si analizeaza raspunsurile Access-Control-Allow-Origin. Detecteaza configurari periculoase precum wildcard-ul * pe endpoint-uri autentificate sau reflectarea dinamica neconditionata a originii.
Verifică securitatea site-ului →Greșeli frecvente
Reflectarea automata a oricarei origini din cerere in Access-Control-Allow-Origin fara validare este echivalentul eliminarii complete a protectiei same-origin. Alta eroare este setarea Access-Control-Allow-Credentials: true impreuna cu wildcard-ul *, ceea ce browserele modern blocheaza dar indica o configurare eronata.
Bune practici
Defineste o lista fixa de origini permise si valideaza fiecare cerere contra acestei liste, returnand 403 pentru originile necunoscute. Nu trimite Access-Control-Allow-Credentials: true decat pentru originile de incredere si limiteaza Access-Control-Max-Age la 3600 secunde pentru a permite revocarea rapida.
Verifică acum
Folosește instrumentul gratuit SoftAudit pentru a verifica cors pe site-ul tău.
Verificare Securitate — GratuitÎntrebări frecvente
Ce este CORS?
CORS (Cross-Origin Resource Sharing) este un mecanism de securitate care controleaza ce alte site-uri pot accesa resursele tale. De exemplu, daca ai un API la api.exemplu.ro, CORS decide daca site-ul altcineva.ro poate face cereri catre el. Fara CORS configurat corect, datele pot fi accesate de site-uri neautorizate.
De ce este important CORS pentru un website?
Cross-Origin Resource Sharing controleaza ce domenii externe pot citi raspunsurile API-ului tau prin cereri AJAX. O configurare gresita CORS poate transforma orice vulnerabilitate XSS de pe alt site intr-un atac direct asupra datelor utilizatorilor tai, permitand citirea profilurilor, mesajelor sau tokenurilor de acces.
Termeni asociați
Reguli care controleaza ce resurse poate incarca pagina
Atac care forteaza un utilizator autentificat sa execute actiuni nedorite
Previne incadrarea site-ului in iframe-uri straine
Set de headere de securitate care izoleaza site-ul de alte origini