CORS no te protege: el 90% de los desarrolladores lo malinterpreta

En 2019, un ingeniero de Fosterelli preguntó a colegas y foros qué hace realmente CORS. El resultado: nueve de cada diez desarrolladores creen que protege al usuario de sitios maliciosos. Están equivocados.

Por qué importa

CORS (Cross-Origin Resource Sharing) no es un cortafuegos del lado del cliente. Es un mecanismo del navegador que relaja la política de mismo origen, permitiendo que un servidor autorice explícitamente solicitudes desde otros dominios. Si un atacante ya controla el navegador de la víctima (mediante XSS, por ejemplo), CORS no bloquea nada.

El malentendido lleva a desarrolladores a confiar en CORS como única defensa, dejando expuestos endpoints que deberían requerir autenticación real. El resultado: APIs que cualquiera puede consumir desde cualquier origen si el atacante sabe cómo saltarse el navegador.

Qué dice el contexto

• El artículo original encuestó informalmente a desarrolladores: el 90% no sabía que CORS solo aplica a solicitudes desde el navegador, no a peticiones directas desde curl, Postman o scripts de servidor.
• CORS no evita que un atacante lea datos desde su propio servidor; solo impide que el navegador de la víctima muestre respuestas de otro origen sin permiso explícito.
• El error más común: pensar que CORS protege al usuario de sitios maliciosos. En realidad, protege al servidor de scripts no autorizados que se ejecutan en el navegador del usuario.
• La confianza excesiva en CORS lleva a omitir cabeceras de seguridad como Content-Security-Policy, que sí mitigan XSS.
• El artículo original es de 2019, pero la confusión persiste: búsquedas en Stack Overflow muestran cientos de preguntas malinterpretando CORS como un mecanismo de autenticación.

Lo que puedes hacer

1. Prueba tus endpoints sin navegador: usa curl o Postman para verificar que tu API rechaza peticiones no autenticadas. Si funciona sin cabeceras de autorización, CORS no es tu problema.