¿Puedo usar * y credentials juntos?

No. La especificación fetch rechaza respuestas que combinan Access-Control-Allow-Origin: * con Access-Control-Allow-Credentials: true. O quitas credentials, o haces eco del Origin real de la solicitud server-side después de validarlo contra una lista de permitidos.

¿Por qué la recomendación Vary: Origin?

Si haces eco de Origin en Allow-Origin, las cachés downstream deben variar su respuesta almacenada según el encabezado Origin de la solicitud; de lo contrario pueden servir la respuesta CORS de un sitio a la solicitud de otro sitio. Vary: Origin le dice a las cachés que usen ese encabezado como clave.

Constructor de Encabezados CORS

Red

Construye los encabezados de respuesta que un servidor necesita enviar para satisfacer una solicitud cross-origin de un navegador. Incluye Allow-Origin, Allow-Methods, Allow-Headers, Expose-Headers, Allow-Credentials, Max-Age, y una pista Vary: Origin. Marca los foot-guns comunes: combinar * con credentials (los navegadores lo bloquean), aceptar Origin: null (un atacante puede falsificarlo), o pedirle al navegador que cachee el preflight por un tiempo irrazonablemente largo.

—

Presets

Allow-OriginUsa * para assets públicos, una URL específica para llamadores confiables, o haz eco del Origin de la solicitud server-side.

Allow-Methods

Allow-HeadersEncabezados que el navegador puede enviar. * solo funciona sin credentials.Expose-HeadersEncabezados de respuesta que el navegador expone a JS más allá del safelist.

Allow-CredentialsVary: OriginMax-Age (s)

Encabezados de respuesta

Access-Control-Allow-Origin: https://example.com
Access-Control-Allow-Methods: GET, POST
Access-Control-Allow-Headers: Content-Type, Authorization
Access-Control-Allow-Credentials: true
Access-Control-Max-Age: 600
Vary: Origin

Aplica estos a la respuesta del preflight OPTIONS *y* la solicitud real. Las cachés edge necesitan Vary: Origin si haces eco de Origin.

Cómo usar

Empieza desde un preset que coincida con tu escenario.
Establece el origen (* para totalmente público, o haz eco del Origin de la solicitud server-side para APIs con credentials).
Elige los métodos y encabezados que tu endpoint realmente acepta — más estrecho es más seguro.
Copia los encabezados a tu servidor, edge worker, o middleware del framework.

Preguntas frecuentes

¿Puedo usar * y credentials juntos?: No. La especificación fetch rechaza respuestas que combinan Access-Control-Allow-Origin: * con Access-Control-Allow-Credentials: true. O quitas credentials, o haces eco del Origin real de la solicitud server-side después de validarlo contra una lista de permitidos.
¿Por qué la recomendación Vary: Origin?: Si haces eco de Origin en Allow-Origin, las cachés downstream deben variar su respuesta almacenada según el encabezado Origin de la solicitud; de lo contrario pueden servir la respuesta CORS de un sitio a la solicitud de otro sitio. Vary: Origin le dice a las cachés que usen ese encabezado como clave.

Herramientas relacionadas

Inspector de Dirección IP

Escribe una dirección IPv4 o IPv6 y ve su clase, scope (privada / pública / loopback / link-local), valor decimal, binario, notación reverse-DNS y CIDR /32.

Red00

Referencia de Puertos

Cheat sheet buscable de ~60 puertos TCP / UDP estándar — desde 22 (SSH) y 80 (HTTP) hasta 6379 (Redis) y 27017 (MongoDB).

Red00

Referencia de Registros DNS

Hoja de referencia buscable de tipos de registro DNS — A, AAAA, CNAME, MX, TXT, NS, SOA, PTR, SRV, CAA, DNSSEC, SVCB / HTTPS — con ejemplos.

Red00

Calculadora de Subred (IPv4 / CIDR)

Parsea CIDR IPv4 en dirección de red, broadcast, netmask, wildcard, rango de hosts y clase. Muestra desglose binario y estado privado/público.

Red00

Parser de User Agent

Parsea string User-Agent en navegador, engine, OS, dispositivo y CPU. Detecta 20+ bots incluyendo GPTBot, ClaudeBot, PerplexityBot.

Red00

Referencia de Códigos de Estado HTTP

Lista buscable de todos los códigos HTTP (1xx-5xx) con resumen, RFC, cuándo usar y trampas frecuentes.

Red00