📖
Segurança

CORS

Cross-Origin Resource Sharing. Browser bloqueia requests cross-origin por padrão. Servidor pode liberar via headers.

📚 O que é

Browser implementa Same-Origin Policy. Para APIs acessadas de outras origens, servidor envia Access-Control-Allow-Origin. Preflight OPTIONS verifica permissões antes de requests complexas. CORS é do servidor, não do cliente.

✅ Quando usar

Sempre que sua API for consumida por frontend em domínio diferente.

🚫 Quando NÃO usar

Same-origin (mesmo host/porta/protocolo) — sem necessidade. CORS com * em APIs privadas é má prática.

👍 Prós
N/A — é mecanismo de segurança necessário
👎 Contras
Configuração errada expõe API
Preflight adiciona latência
Difícil de debugar
🔗 Termos relacionados
XSS
Segurança

Cross-Site Scripting. Injeção de JavaScript malicioso em página confiável.

CSRF
Segurança

Cross-Site Request Forgery. Site malicioso dispara ação em seu site usando cookies do usuário.

CSP
Segurança

Content Security Policy. Header HTTP que restringe o que pode executar na página.

HttpOnly
Segurança

Flag de cookie que impede acesso via JavaScript. Protege contra roubo de token por XSS.

SameSite
Segurança

Flag de cookie que controla envio em requests cross-site. Principal defesa contra CSRF.