CORS não é só colar asterisco!

Eu vi isso na prática quando fui revisar as configs do meu site no cloudflare pages e percebi que tinha deixado o backend exposto.

Eu fiz o básico e joguei o wildcard lá no header.

Funcionou e eu deixei por isso mesmo.

O ruim é que qualquer domínio aleatório podia mandar um fetch no meu endpoint pra floodar o guestbook.

Até tenho rate limit e turnstile no site mas não dá pra confiar só nisso.

Tirei o asterisco e criei uma whitelist com os domínios que realmente importam tipo o meu site e o localhost. agora o código verifica o origin de quem tá chamando.

Se vier de um lugar estranho a api simplesmente não manda o header de volta e o navegador do usuário corta a requisição na raiz.

Recomendado para ti

Bootcamp Bradesco - GenAI, Dados & Cyber

Bootcamp Afya - Automação de Dados com IA

Comentarios (0)

Lee abajo

Python na Prática: Da Lógica de Programação às Soluções do Mundo RealCarlos Santos - 24 de Maio

#Python

A volta do texto: por que os agentes de IA estão nos levando de volta ao terminalCarlos Pinheiro - 23 de Maio

#IA Consciente#IA Generativa#LLMs

O que é uma API e por que todo desenvolvedor precisa entender issoAparecido Oliveira - 23 de Maio

#API