Problema de CORS

Clase 24 de 27Curso de Backend con Node.js: API REST con Express.js

Clase anteriorSiguiente clase

Resumen

¿Cómo solucionar el problema de CORS en tu aplicación?

El error de CORS (Cross-Origin Resource Sharing) es común al trabajar con aplicaciones web que intentan acceder a recursos desde un dominio diferente al de origen. Para resolverlo, puedes implementar un middleware que gestione las peticiones provenientes de otros orígenes, permitiendo o denegando el acceso según tus necesidades.

¿Qué es Quartz y cómo lo utilizamos?

Quartz es una librería que funciona como middleware para manejar errores de CORS. Su instalación es muy sencilla:

npm install quartz

Una vez instalada, puedes integrarla en tu aplicación:

const quartz = require('quartz');
app.use(quartz());

Esta configuración permite, por defecto, que cualquier dominio acceda a tu aplicación. Sin embargo, es esencial evaluar si esta apertura es adecuada para tu API.

¿Es seguro permitir el acceso a todos los orígenes?

Aunque abrir el acceso a todos los orígenes resuelve el problema de CORS, no siempre es la mejor opción. Para una API pública, esto podría ser aceptable, pero si se trata de un servicio con un conjunto controlado de aplicaciones, es mejor limitar el acceso a dominios específicos.

¿Cómo crear un Array de White-list para controlar el acceso?

Para limitar los orígenes que pueden acceder a tus recursos, necesitas crear un array de white-list. Este array contendrá los dominios que tienen permiso para hacer peticiones a tu API.

const whitelist = ['http://localhost:8080', 'https://myapp.com'];

Aquí especificas los dominios permitidos. Luego, definirás opciones para manejar estos orígenes:

const options = {
  origin: function(origin, callback) {
    if (whitelist.includes(origin)) {
      callback(null, true);
    } else {
      callback(new Error('No permitido'));
    }
  }
};

app.use(quartz(options));

¿Cómo probar la configuración de CORS?

Luego de configurar tu white-list, es importante probar la aplicación para asegurarte de que sólo los dominios listados puedan hacer peticiones exitosas.

  • Desde un dominio permitido: Realiza una petición desde un puerto o dominio que esté en tu white-list. Deberías poder conectarte y obtener los datos sin problemas.

  • Desde un dominio no permitido: Intenta hacer una petición desde un origen que no esté listado. Deberías recibir un error indicando que la conexión no está permitida.

Por ejemplo:

// Ejemplo desde un dominio permitido
fetch('http://localhost:3000/products')
  .then(response => response.json())
  .then(data => console.log(data));

// Ejemplo desde un dominio no permitido
fetch('http://unauthorized-domain.com')
  .catch(err => console.error('Error:', err));

¿Cómo preparar tu entorno para deployment en Heroku?

Resolver el problema de CORS es solo un paso hacia el correcto funcionamiento de tu aplicación. Una vez configurada, puedes proceder a preparar el entorno para su despliegue en plataformas como Heroku. Asegúrate de revisar las dependencias, configuraciones de servidor y otras variables antes de hacer el deployment.

Adoptar medidas de seguridad adecuadas y gestionar correctamente el acceso a tu API es crítico para mantener la integridad y eficiencia de tus servicios. Implementa estas prácticas y controla el acceso hacia los recursos de tu aplicación eficientemente.