CORS Misconfiguration
Access-Control-Allow-Origin reflejando el header Origin del atacante + Access-Control-Allow-Credentials: true = cualquier dominio puede leer respuestas autenticadas de la víctima.
Categoría: Web · Vectores avanzados 🎯 Trinchera —Access-Control-Allow-Origin reflejando el header
Origin del atacante + Access-Control-Allow-Credentials: true =
cualquier dominio puede leer respuestas autenticadas de la víctima.
🔗 Kill chain — Página atacante hace fetch('/api/profile', { credentials: 'include' }) desde https://attacker.tld; el backend
refleja Origin y entrega los datos. Roba PII, tokens, etc.
📡 Huella defensiva — Logs con Origin desde dominios externos
recibiendo Access-Control-Allow-Credentials: true.
⚠️ Falso amigo — Validar Origin con endsWith('trusted.com')
permite evil.com.trusted.com.attacker.tld. Validar con allowlist
exacta.
🛡️ Remediación — Whitelist exacta de orígenes, nunca reflejar
Origin directo, nunca combinar * con credentials: true.
← Volver al glosario completo Última actualización: 2026-06-11