domingo, 7 de septiembre de 2025

¿Cómo funciona Access-Control-Allow-Credentials?

 ¿Cómo funciona Access-Control-Allow-Credentials?

Access-Control-Allow-Credentials es una parte específica del protocolo CORS que discutimos. Funciona como un permiso adicional que los servidores otorgan para habilitar un tipo de solicitud de origen cruzado más seguro y confiable.

Para entenderlo, volvamos a la analogía de la casa. .

El Pase VIP con Credenciales

Imagina que tu sitio web (mi-tienda.com) necesita hacer una solicitud a la API de un servicio de fotos (api-fotos.com) para obtener las fotos de un usuario. Para que la API sepa de qué usuario se trata, necesita una credencial, como una cookie de sesión o un token de autenticación que el navegador tiene guardado.

  • Petición normal con CORS: Tu navegador le pide a api-fotos.com permiso para acceder a los datos. La API responde con Access-Control-Allow-Origin: mi-tienda.com, y la petición funciona. Pero, ¿qué pasa con la cookie?

  • Petición con credenciales: Por defecto, los navegadores no envían cookies ni tokens de autenticación en las solicitudes de origen cruzado. Este es un mecanismo de seguridad para evitar que un sitio malicioso use tu sesión sin tu permiso.

Para que el navegador envíe esas credenciales, tanto la petición como la respuesta deben cumplir con dos condiciones:

  1. En la petición del navegador: Tu código debe enviar la solicitud con la propiedad credentials en include. Esto le dice al navegador: "Por favor, envía mis credenciales con esta solicitud".

  2. En la respuesta del servidor: El servidor de la API debe incluir la cabecera Access-Control-Allow-Credentials con el valor true.

Cómo funciona el flujo

El proceso es un poco más complejo que una solicitud CORS simple:

  1. Tu código en mi-tienda.com envía una petición al servidor de la API (api-fotos.com) para obtener tus fotos. La petición incluye la configuración de credenciales.

  2. La API recibe la petición y, si confía en tu dominio, responde con dos cabeceras:

    • Access-Control-Allow-Origin: mi-tienda.com

    • Access-Control-Allow-Credentials: true

  3. Tu navegador revisa la respuesta. Si ambas cabeceras son correctas, permite que la petición se complete y que el navegador envíe la información de la cookie con la siguiente solicitud.

Punto clave

Access-Control-Allow-Credentials solo funciona si el valor de Access-Control-Allow-Origin no es * (un comodín). Si el servidor de la API permite el acceso desde cualquier origen (*), no permitirá que se envíen credenciales. Esto es una medida de seguridad extra para evitar el robo de sesiones.

En resumen, Access-Control-Allow-Credentials es la "llave" que le da al navegador el permiso de enviar información de autenticación junto con una solicitud de origen cruzado. Es una capa de seguridad crucial que permite a las aplicaciones usar sesiones de usuario de forma segura en APIs de terceros.

Publicado por en
Etiquetas:

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)