Segurança de SaaS | Guia técnico

O que é CORS e por que isso importa para SaaS?

CORS define quais origens podem ler respostas da sua API no navegador. Configuração errada abre porta para vazamento de dados.

CORS não protege a API sozinho. Ele apenas controla leitura cross-origin no browser. Se você liberar demais, qualquer frontend pode consumir respostas sensíveis.

Escrito por Betacoding - especialistas em segurança de SaaS

O que é isso?

CORS (Cross-Origin Resource Sharing) é um mecanismo do navegador que permite ou bloqueia chamadas entre domínios diferentes com base em cabeçalhos HTTP.

Por que isso é um problema?

Quando a API usa origem coringa ou valida origem de forma fraca, aplicações não confiáveis podem ler dados de usuários autenticados, aumentando risco de roubo de informação e abuso de sessão.

Como resolver?

  1. Permita apenas origens explícitas e confiáveis.
  2. Não use credenciais com origem coringa.
  3. Valide métodos e headers permitidos de forma restritiva.
  4. Revise periodicamente domínios liberados e remova os inativos.

Resumo

CORS aberto é perigoso porque permite leitura indevida de respostas da API no navegador. A configuração segura exige allowlist de origens e política mínima.

Exemplo prático

A API retorna Access-Control-Allow-Origin: * e Access-Control-Allow-Credentials: true. Um site malicioso faz chamada ao endpoint /api/billing e lê dados porque o navegador aceita a resposta com cookies da sessão.

Correção

  • Troque o wildcard por lista explícita de domínios confiáveis.
  • Desative credenciais para origens não controladas.
  • Implemente verificação de origem no gateway ou backend.
  • Monitore erros e tentativas de origem não autorizada.

FAQ

CORS aberto e perigoso?

Sim. Dependendo da configuração, um domínio não confiável pode ler respostas da API e expor dados sensíveis.

CORS substitui autenticação?

Não. CORS é política de navegador. Autenticação e autorização devem ser aplicadas no backend.

Qual configuração mínima recomendada?

Allowlist de origens confiáveis, métodos restritos, headers explícitos e sem wildcard com credenciais.

Entidades relacionadas

  • segurança de API
  • vulnerabilidades web
  • autenticação
  • autorização
  • OWASP Top 10

Teste seu SaaS gratuitamente

Mapeie vulnerabilidades de autenticação, autorização e exposição de dados em minutos.

Teste seu SaaS gratuitamente