Las aplicaciones web modernas suelen ser un ecosistema de recursos e interacciones entre múltiples dominios y servidores. A medida que surgen y se consolidan estos sistemas distribuidos, el desarrollo en JavaScript es cada vez más común. Sin embargo, los problemas de seguridad no tardaron en aparecer, y para atenderlos se introdujo la política de seguridad conocida como CORS (Cross-Origin Resource Sharing, o Compartición de Recursos de Origen Cruzado en español). CORS es una medida de seguridad implementada en los navegadores para evitar solicitudes no deseadas a recursos en otros dominios.
¿Qué es CORS?
CORS es un mecanismo que utiliza cabeceras HTTP para permitir que un servidor indique cualquier otro origen (dominio, esquema, o puerto) distinto al suyo desde el cual un navegador debería permitir la carga de recursos. En otras palabras, CORS es una política que determina si un recurso web puede ser accesible o no por un script desde un dominio diferente al que pertenece el recurso.
Esta política es crucial para la seguridad en la web por una razón sencilla: previene los ataques de tipo Cross-Site Request Forgery (CSRF), donde un sitio malicioso puede usar las credenciales de un usuario para realizar acciones en otro sitio sin su conocimiento o consentimiento. Sin embargo, a pesar de sus claros beneficios en seguridad, CORS puede causar dolores de cabeza inesperados a los desarrolladores.
El Enigma de CORS en Aplicaciones JavaScript
Cuando desarrollas un sitio web que necesita acceder a recursos de otros dominios, como APIs o imágenes, CORS entra en juego. Si el otro dominio no ha implementado correctamente las cabeceras CORS o si no se ha especificado que tu dominio está permitido para acceder a esos recursos, encontrarás errores relacionados con CORS en la consola de tu navegador. Estos mensajes de error indican que la política de seguridad del navegador no permite la operación por razones de seguridad.
Los errores de CORS usualmente se presentan al realizar peticiones AJAX o al usar APIs de Fetch en aplicaciones JavaScript. Los mensajes pueden variar, pero por lo general indicarán que la política Same-Origin está bloqueando la petición. Es frustrante porque tu código parece estar bien, pero aún así no funciona como debería.
Soluciones al alcance de tu código
Modifica el servidor para aceptar tu origen
La manera más directa y adecuada de resolver issues de CORS es configurar el servidor que está sirviendo los recursos para que permita las peticiones desde tu dominio. Esto se logra agregando el encabezado Access-Control-Allow-Origin en la respuesta del servidor y especificando el dominio que realizó la petición o un asterisco (*) para permitir cualquier origen. Es importante subrayar que usar un asterisco implica que cualquier sitio podrá solicitar recursos, lo que reduce la seguridad.
Uso de un proxy
Si no puedes cambiar la configuración del servidor del recurso que necesitas consumir, una solución es usar un servidor proxy. Este funcionará como intermediario entre tu aplicación y el servidor que necesitas acceder. El proxy realiza la petición al recurso deseado y luego lo pasa a tu aplicación, lo que efectivamente elude la política CORS porque para el navegador, la petición parece venir del mismo dominio.
A continuación, te ofrezco una guía paso a paso para configurar un servidor proxy simple usando Node.js:
- Crea un nuevo proyecto Node.js si aún no tienes uno.
- Instala un paquete para crear un proxy, como
http-proxy-middleware. - Configura tu proxy en el middleware de tu aplicación para que oriente las peticiones al servidor objetivo.
- Asegúrate de que las peticiones a tu aplicación JavaScript utilicen la ruta del proxy.
Uso de JSONP para leer recursos
JSONP es una técnica que permite realizar solicitudes a otro dominio evitando las restricciones de Same-Origin. Funciona mediante la creación de una etiqueta <script>, que es inmune a la política CORS, para cargar una función de callback que processará los datos recibidos. Esta técnica ha quedado algo obsoleta con la llegada de CORS y Fetch, pero puede ser útil en casos muy específicos donde no hay otra solución viable.
Configuración de cabeceras CORS en el cliente
A veces, para solucionar problemas simples o en entornos de desarrollo, puedes configurar las cabeceras CORS en la petición del lado del cliente, estableciendo parámetros específicos que permitan que el navegador interprete correctamente la respuesta del servidor y no bloquee la petición. Esto puede incluir cabeceras como Access-Control-Allow-Headers, Access-Control-Allow-Methods, y otras relacionadas.
Utiliza complementos del navegador para desarrollo
Para el desarrollo local, puedes utilizar complementos en tu navegador que modifican las cabeceras de tus peticiones y respuestas para ignorar los errores CORS. Ten en cuenta que esto solo debe usarse para pruebas en desarrollo, ya que deshabilitar las medidas de seguridad en un entorno de producción puede tener consecuencias graves.
Resumen
CORS es una política de seguridad esencial que protege contra ciertos tipos de ataques web. Aunque puede ser una fuente de frustración para los desarrolladores, comprender cómo funciona y cómo manejarla es crucial al trabajar con JavaScript y APIs en la web. Con las herramientas y métodos correctos, puedes superar los desafíos que plantea CORS y construir aplicaciones web seguras y funcionales.
Para continuar profundizando en el desarrollo y las tecnologías web, te invito a visitar NelkoDev, donde encontrarás una amplia gama de recursos, tutoriales y asesoría para tus proyectos. No dudes en ponerte en contacto a través de NelkoDev Contacto si necesitas ayuda adicional con CORS u otro aspecto del desarrollo web. Juntos, podemos solucionar cualquier problema y hacer realidad tus ideas más ambiciosas.
Spanish 
English