Ilustração abstrata de bloqueio CORS

O que é CORS e como corrigir erros de origem cruzada

PorClovis Duarte
Curtiu? Salve ou Compartilhe!

Se você é desenvolvedor web, CORS provavelmente já te deu algumas noites de sono perdidas. Aquela mensagem de erro misteriosa no console, impedindo que sua aplicação acesse recursos de outro domínio, é frustrante. Mas fica tranquilo, vou te explicar tudo sobre CORS e como corrigir esses erros de origem cruzada de uma vez por todas!

O que é CORS?

CORS (Cross-Origin Resource Sharing), ou Compartilhamento de Recursos de Origem Cruzada, é um mecanismo de segurança do navegador que restringe requisições HTTP feitas de um domínio para outro. Imagina que seu site (dominio-a.com) tenta pegar dados de outro site (dominio-b.com). Sem o CORS, o navegador bloqueia essa requisição.

O objetivo principal do CORS é proteger os usuários de ataques maliciosos, impedindo que scripts de um site acessem dados confidenciais de outro. É como se fosse um porteiro na internet, checando se as requisições têm permissão para entrar.

Por que o CORS existe?

Para entender a importância do CORS, precisamos falar sobre a política de mesma origem (Same-Origin Policy). Essa política é um conceito fundamental de segurança em navegadores, que impede que documentos ou scripts carregados por uma origem acessem recursos de outra origem. Mas, o que é uma “origem”?

Uma origem é definida pela combinação de:

  • Protocolo (http ou https)
  • Domínio (dominio-a.com)
  • Porta (80, 443, etc.)

Se qualquer um desses três elementos for diferente entre duas URLs, elas são consideradas de origens diferentes. O CORS entra em ação quando essa política de mesma origem é violada.

Como o CORS funciona?

Quando um navegador faz uma requisição CORS, ele adiciona um cabeçalho `Origin` na requisição HTTP, informando a origem do site que está fazendo a requisição. O servidor de destino, então, verifica esse cabeçalho e decide se permite ou não a requisição.

Se o servidor permitir a requisição, ele inclui um cabeçalho `Access-Control-Allow-Origin` na resposta HTTP, indicando quais origens têm permissão para acessar o recurso. Esse cabeçalho pode conter:

  • Um domínio específico (ex: `Access-Control-Allow-Origin: dominio-a.com`)
  • O caractere curinga `*`, que permite requisições de qualquer origem (ex: `Access-Control-Allow-Origin: *`)

Se o navegador não encontrar o cabeçalho `Access-Control-Allow-Origin` na resposta, ou se o valor do cabeçalho não corresponder à origem do site que fez a requisição, ele bloqueia o acesso ao recurso e exibe um erro no console.

Cenários Comuns de Erros CORS

1. Requisição Bloqueada por Falta de Cabeçalho

Ocorre quando o servidor não retorna o cabeçalho `Access-Control-Allow-Origin`. Isso significa que o servidor não está configurado para permitir requisições de outras origens. Para corrigir, você precisa configurar o servidor para adicionar esse cabeçalho na resposta HTTP.

2. Requisição Bloqueada por Domínio Não Permitido

Ocorre quando o cabeçalho `Access-Control-Allow-Origin` retorna um domínio diferente do que está fazendo a requisição. Por exemplo, o cabeçalho pode estar configurado para `dominio-c.com`, enquanto a requisição é feita de `dominio-a.com`. A solução é ajustar a configuração do servidor para permitir o domínio correto.

3. Requisição Preflight Falha

Antes de fazer uma requisição CORS que pode ter impacto no servidor (como requisições com métodos diferentes de GET, HEAD ou POST, ou com cabeçalhos customizados), o navegador faz uma requisição “preflight” usando o método OPTIONS. Essa requisição serve para verificar se o servidor permite a requisição principal. Se a requisição preflight falhar, a requisição principal é bloqueada. Para corrigir, você precisa configurar o servidor para responder corretamente à requisição OPTIONS.

Como Corrigir Erros de CORS?

Existem várias maneiras de corrigir erros de CORS, dependendo do seu caso. Aqui estão algumas opções:

  1. Configurar o Servidor: A maneira mais recomendada é configurar o servidor para adicionar o cabeçalho `Access-Control-Allow-Origin` na resposta HTTP. A forma de fazer isso depende da linguagem e do framework que você está usando.
  2. Usar um Proxy: Se você não tem controle sobre o servidor de destino, pode usar um proxy no seu próprio servidor para fazer a requisição. O proxy faz a requisição para o servidor de destino e retorna a resposta para o seu site, evitando o problema de CORS.
  3. JSONP: JSONP (JSON with Padding) é uma técnica antiga que permite fazer requisições entre domínios diferentes, mas tem algumas limitações. Ela só funciona com requisições GET e não permite o envio de cabeçalhos customizados.
  4. Desativar o CORS no Navegador (Não Recomendado): Em alguns casos, você pode desativar o CORS no navegador para fins de teste, mas essa não é uma solução recomendada para ambientes de produção, pois compromete a segurança.

Dica do Especialista:

Dica do especialista em CORS
Um desenvolvedor concentrado resolvendo problemas de CORS com uma dica útil na tela.

Teste suas configurações de CORS com ferramentas online! Existem diversas ferramentas online que te ajudam a verificar se o CORS está configurado corretamente no seu servidor. Elas te mostram os cabeçalhos da resposta HTTP e te avisam se algo está errado. Isso pode te economizar um tempão na hora de debuggar!

Para não esquecer:

CORS é uma medida de segurança essencial para proteger seus usuários. Dominar o CORS é fundamental para qualquer desenvolvedor web.

Dúvidas Frequentes

Por que o CORS é importante?

CORS e a importância da segurança
Cabos de rede formando um escudo, simbolizando a proteção que o CORS oferece.

CORS protege contra ataques XSS, garantindo que apenas domínios autorizados acessem seus recursos.

Qual o impacto do CORS no desempenho?

Impacto do CORS no desempenho
Visualização do impacto do CORS na velocidade de carregamento de um site.

Configurações incorretas podem levar a requisições preflight desnecessárias, afetando o desempenho.

Posso desativar o CORS completamente?

Desativar o CORS: um risco?
Um botão vermelho com a opção de desativar o CORS, acompanhado de um aviso.

Não é recomendado em produção, pois expõe seus usuários a riscos de segurança.

Como configurar o CORS no Node.js?

CORS no Node.js: Configuração
Trecho de código mostrando a configuração do CORS em um ambiente Node.js.

Use o middleware `cors` para configurar facilmente os cabeçalhos necessários.

O que é uma requisição preflight?

É uma requisição OPTIONS que o navegador faz para verificar se o servidor permite a requisição principal.E aí, conseguiu entender melhor o que é CORS e como lidar com esses erros? Espero que sim! Se você ainda tiver alguma dúvida, deixe um comentário aqui embaixo. E não se esqueça de compartilhar este artigo com seus amigos desenvolvedores!

Post Views: 0
Curtiu? Salve ou Compartilhe!

Posts Similares

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *