Configuración CORS en API Gateway

Clase 30 de 30 • Curso de Ciberseguridad para Desarrollo Web

Resumen

Domina CORS en navegadores y refuerza tu seguridad en AWS con configuraciones claras en API Gateway y Auth0. Aquí entenderás cómo el navegador decide compartir recursos entre dominios y qué prácticas aplicaste: desde two factor authentication hasta mitigar SQL injection y proteger datos at rest e in transit.

¿Qué es CORS y cómo afecta a tu frontend?

CORS significa intercambio de recursos de origen cruzado. Es el mecanismo del navegador que permite o bloquea solicitudes entre dominios distintos cuando así se ha configurado. Si desarrollas frontend, es probable que hayas visto el error de CORS al intentar consumir un API desde otro origen.

Un servidor responde con el header *Access-Control-Allow-Origin* indicando orígenes permitidos.
La petición envía el header *origin* con su dominio.
Si el origin no está en Access-Control-Allow-Origin, el navegador bloquea la respuesta y aparece el error de CORS.

¿Qué es el header Access-Control-Allow-Origin?

Es la lista de orígenes que el servidor acepta para compartir recursos. Funciona como una política declarativa: solo los orígenes explícitamente permitidos podrán hacer requests válidas.

¿Qué valida el header origin en una petición?

Indica desde qué dominio se hace la solicitud real. El navegador compara ese valor con Access-Control-Allow-Origin y, si no coincide, rechaza el intercambio de recursos.

¿Cómo configurar CORS en API Gateway y Auth0 sin complicaciones?

Habilitar CORS es sencillo cuando controlas tu API y autenticación. Desde API Gateway puedes usar el menú de CORS para declarar orígenes admitidos. Y en Auth0 existe un panel para añadir los orígenes que tendrán acceso.

En API Gateway: configura CORS en el menú dedicado y publica cambios.
En Auth0: agrega los dominios permitidos en el panel correspondiente.
Verifica que el frontend haga requests con el origin correcto.
Prueba con el navegador para asegurar que no aparece el error de CORS.

¿Dónde habilitar orígenes permitidos en Auth0?

En el panel de configuración de Auth0, agrega explícitamente los orígenes confiables. Eso alinea la seguridad del proveedor de autenticación con tu API y tu frontend.

¿Qué habilidades de seguridad aplicaste en AWS y el proyecto?

A lo largo del desarrollo integraste prácticas clave para reducir riesgos y operar con confianza, tanto en el backend como en el frontend que corre en navegadores.

Protección de cuenta en AWS: uso de two factor authentication.
Automatización: creación de la primera pipeline con GitHub Actions.
Arquitectura segura: diseño con separación de componentes.
Base de datos en VPC: despliegue dentro de una VPC y acceso controlado por IP y recursos autorizados.
Mitigación de SQL injection: validaciones y prácticas para reducir este riesgo.
Autorización robusta: creación de un authorizer para validar tokens de acceso con Auth0.
Cifrado de datos: cuidado de la información at rest e in transit.
Interoperabilidad segura: comprensión de CORS para el desarrollo web en navegadores.

Si ya aplicaste estas técnicas, estás listo para el examen o para entregar el proyecto y obtener tu certificado. Compártelo en redes y etiqueta a @ladeveloper. Me encantará ver tu progreso. ¿Tienes dudas o quieres aportar tu experiencia? Déjalo en los comentarios y continuemos la conversación.

oscar torres gómez

student•

muy bueno, gracias

Diego Fernando Ramos Aguirre

student•

Errores de CORS

Cuando se habla de desarrollo web no solo se habla de backend sino también se tiene un aplicativo que corre sobre navegadores normalmente con frontend, donde puede salir el error de CORS que sería Cross-Origin Resource Sharing o intercambio de recursos de origen cruzado el cual es un mecanismo que utilizan los navegadores para permitir que los recursos sean compartidos dentro de diferentes servidores de forma segura cuando se permite que otro dominio acceda a ellos.

Cuando un navegador va a preguntar por los recursos a otro servidor web, este va a responder con un header llamado Access-Control-Allow-Origin en el cual llegará una lista de especificaciones con los orígenes que va aceptar, así cuando se mande la petición si el origen no está dentro de la lista no va a permitir que se compartan recursos y se tendría el error de CORS.

¿Qué aprendimos en este curso?

Riesgos de seguridad y técnicas para mitigarlos
Proteger la cuenta de AWS usando two factor authentication
Creamos un pipeline utilizando GitHub Actions
Diseño de arquitectura segura
Creación de Base de Datos dentro de una VPC para restringir el acceso sólo para nuestra IP y los recursos necesarios
Mitigar riesgos de SQL injection
Creamos una lambda authorizer para validar token de auth0
Técnicas para cuidar los datos cuando están at-rest o in transit
Que son CORS y cómo desarrollar nuestra aplicación web

Samuel Vilcherrrez Ramos

student•

Los headers de CORS (Cross-Origin Resource Sharing) son esenciales para permitir el intercambio seguro de recursos entre diferentes orígenes. Cuando un navegador realiza una solicitud a un servidor diferente, el servidor responde con un header llamado Access-Control-Allow-Origin, que especifica qué orígenes pueden acceder a los recursos. Si el origen de la solicitud no está en esta lista, el navegador bloquea la respuesta por razones de seguridad, generando un error de CORS. Esto ayuda a prevenir ataques y garantiza que solo los dominios autorizados puedan interactuar con tu API o servidor.

Jose Luis Huaygua Callanti

student•

good

Configuración CORS en API Gateway

Conceptos generales de seguridad

Cómo evitar que te hackeen con ingeniería social

Los 3 riesgos de seguridad que ignoras

Principios AAA de seguridad con AWS IAM

Funciona en mi local

Configuración de webhooks de GitHub con ngrok

Cómo prevenir SQL injection en Go

Creando mocks con Testify para commits

Introducción a DevSecOps

DevSecOps y pruebas con GitHub Actions

GitHub Actions para pruebas Go con vendor

Mocks en Go para aislar la base de datos

Configuración de budget cero en AWS

Seguridad en la arquitectura

Arquitectura AWS para métricas de Git

Configuración de AWS CLI para Terraform

Terraform IAM: roles y policies automáticos

Modificando main.tf para enlazar módulos IAM en Terraform

Bucket S3 para Lambdas con Terraform

Configuración de Postgres RDS con VPC y seguridad

Configurando VPC para AWS Lambda con Terraform

Cómo configurar API Gateway para Lambdas

Evitando vulnerabilidades en el código

Configuración completa de Auth0 para tokens

Authorizer Lambda con Auth0 y JWT

Conecta Go a Postgres usando AWS Secrets

Conexión segura de Lambdas a Secrets con VPC

Validación de webhooks desde GitHub con user-agent

Cómo validar integridad de webhooks con HMAC

Controles de seguridad sobre datos

Certificados SSL/TLS en AWS RDS

Data at rest: qué es y cómo KMS la protege

Monitoring y alertas

Cómo crear un sistema de logs en Go

Monitoreo y auditoría con CloudWatch y CloudTrail

Configuración de alertas en AWS CloudWatch

CORS y cierre