CORS explicado

Guía completa de Cross-Origin Resource Sharing — cómo funciona, cada encabezado explicado y errores comunes con soluciones.

Descripción general

Que es CORS?

Cross-Origin Resource Sharing (CORS) es un mecanismo basado en encabezados HTTP que permite a un servidor indicar cualquier origen (dominio, esquema o puerto) distinto al suyo desde el cual un navegador deberia permitir la carga de recursos. Los navegadores aplican por defecto la politica de mismo origen, que impide que las paginas web realicen solicitudes a un origen diferente del que sirvio la pagina.

La politica de mismo origen

Dos URLs tienen el mismo origen si comparten el mismo esquema (http/https), host y puerto. Por ejemplo, https://app.example.com y https://api.example.com son origenes diferentes porque el host difiere. La politica de mismo origen evita que un sitio malicioso lea datos sensibles de otro sitio; CORS es el mecanismo que relaja esta restriccion de manera controlada.

Solicitudes simples vs. Preflight

Una "solicitud simple" usa GET, HEAD o POST con solo encabezados seguros de CORS y no activa un preflight. Todas las demas solicitudes de origen cruzado, aquellas que usan metodos como PUT o DELETE, o que incluyen encabezados como Authorization, activan un preflight: el navegador primero envia una solicitud OPTIONS para pedir permiso al servidor antes de enviar la solicitud real.

Cómo funciona CORS

Solicitud simple

Navegador

GET /api/data
Origin: https://app.example.com

↓

Servidor

200 OK
Access-Control-Allow-Origin: *

↓

✓ Respuesta compartida con JS

Solicitud de verificación previa

Navegador

OPTIONS /api/data
Access-Control-Request-Method: DELETE

↓

Servidor

204 No Content
Access-Control-Allow-Methods: DELETE

↓

Navegador

DELETE /api/data
Origin: https://app.example.com

↓

✓ Respuesta compartida con JS

Encabezados CORS

Mostrando 10 de 10

Errores comunes

Mostrando 8 de 8

Guías relacionadas

61 códigos de estado

Códigos de estado HTTP

Referencia completa de todos los códigos de estado HTTP con descripciones y ejemplos.

Explorar

36 encabezados

Encabezados HTTP

Encabezados HTTP comunes explicados con sintaxis, ejemplos y valores frecuentes.

Explorar

9 métodos

Métodos HTTP

Guía completa de métodos de solicitud HTTP con tablas comparativas y ejemplos.

Explorar

70 tipos MIME

Tipos MIME

Referencia completa de tipos MIME comunes con extensiones de archivo, categorías y ejemplos de uso.

Explorar

Pruébalo en RequestDock

Envía solicitudes HTTP reales e inspecciona las respuestas — directamente en tu navegador.

Abrir RequestDock

Descripción general

Que es CORS?

La politica de mismo origen

Solicitudes simples vs. Preflight

Cómo funciona CORS

Solicitud simple

Solicitud de verificación previa

Encabezados CORS

Access-Control-Allow-OriginRespuestaRequerido

Access-Control-Allow-MethodsRespuestaRequerido

Access-Control-Allow-HeadersRespuestaRequerido

Access-Control-Allow-CredentialsRespuestaOpcional

Access-Control-Expose-HeadersRespuestaOpcional

Access-Control-Max-AgeRespuestaOpcional

Access-Control-Request-MethodSolicitudRequerido

Access-Control-Request-HeadersSolicitudOpcional

OriginSolicitudRequerido

VaryRespuestaOpcional

Errores comunes

Access to fetch at 'https://api.example.com' from origin 'https://app.example.com' has been blocked by CORS policy: No 'Access-Control-Allow-Origin' header is present on the requested resource.

Access to fetch at 'https://api.example.com' from origin 'https://app.example.com' has been blocked by CORS policy: The value of the 'Access-Control-Allow-Origin' header must not be the wildcard '*' when the request's credentials mode is 'include'.

Access to fetch at 'https://api.example.com' from origin 'https://app.example.com' has been blocked by CORS policy: Method DELETE is not allowed by Access-Control-Allow-Methods in preflight response.

Access to fetch at 'https://api.example.com' from origin 'https://app.example.com' has been blocked by CORS policy: Request header field authorization is not allowed by Access-Control-Allow-Headers in preflight response.

Access to fetch at 'https://api.example.com' from origin 'https://app.example.com' has been blocked by CORS policy: Response to preflight request doesn't pass access control check: It does not have HTTP ok status.

Access to fetch at 'https://api.example.com/data' (redirected from 'https://api.example.com/old') from origin 'https://app.example.com' has been blocked by CORS policy: Response to preflight request doesn't pass access control check: Redirect is not allowed for a preflight request.

Access to fetch at 'https://api.example.com' from origin 'https://app.example.com' has been blocked by CORS policy: The value of the 'Access-Control-Allow-Credentials' header in the response is '' which must be 'true' when the request's credentials mode is 'include'.

Refused to get unsafe header 'X-Request-Id'

Guías relacionadas

Códigos de estado HTTP

Encabezados HTTP

Métodos HTTP

Tipos MIME

Pruébalo en RequestDock