¿Qué es CORS? El Guardián de la Seguridad Web Explicado
¿Qué es CORS? El Guardián de la Seguridad Web Explicado
Si alguna vez estuviste cerca de un desarrollador web, es probable que lo hayas oído quejarse de un "error de CORS". Es un famoso mensaje rojo en la consola del navegador que causa frustración, pero aunque parezca un enemigo, el mecanismo de CORS (Cross-Origin Resource Sharing ) es en realidad un guardián fundamental de la seguridad en internet.
Para entenderlo, primero hay que conocer la Política del Mismo Origen (Same-Origin Policy). Es una regla de seguridad de todos los navegadores que dice: un script cargado desde un sitio (Origen A) no puede pedir datos a otro sitio diferente (Origen B). Si pudiera, una web maliciosa podría intentar leer tus correos o acceder a tu home banking en otra pestaña.
El Puente Controlado
El problema es que las aplicaciones modernas necesitan hablar con otros orígenes. Un e-commerce (Origen A) necesita comunicarse con la API de Mercado Pago (Origen B). CORS es el mecanismo que permite esta comunicación de forma segura.
Funciona así: el servidor del Origen B debe incluir en su respuesta un permiso explícito, un encabezado que diga: "Confío en el Origen A y le permito acceder a mis datos". Si el navegador recibe este permiso, deja pasar la información. Si no lo recibe, bloquea la respuesta y muestra el famoso error de CORS para proteger al usuario.
La Verificación Previa (Preflight)
Para acciones que pueden modificar datos (como un POST o un DELETE), los navegadores añaden un paso extra: la petición "preflight".
Antes de enviar la petición real, el navegador envía una pequeña petición de tipo OPTIONS para preguntar si tiene permiso. Es como llamar por teléfono antes de visitar. Si el servidor responde afirmativamente, el navegador envía la petición principal. Si no, la bloquea.
La frustración de los desarrolladores a menudo surge porque el error aparece en el navegador (el frontend), pero la solución está en la configuración del servidor (el backend), que no está dando los permisos correctos.
En resumen, CORS no es un bug, sino una característica de seguridad esencial. Es un guardián estricto que, aunque a veces genere dolores de cabeza en el desarrollo, está trabajando silenciosamente para hacer de la web un lugar más seguro para todos.
