Configuración de CORS
CONTENIDOS
Introducción
El uso compartido de recursos entre orígenes o CORS, del inglés cross-origin resource sharing, es un mecanismo del navegador que permite el acceso controlado a recursos situados fuera de un determinado dominio y un estándar del consorcio W3C.
CORS amplía y añade flexibilidad a la política del mismo origen (SOP). Sin embargo, también ofrece la posibilidad de que se produzcan ataques entre dominios, si la política CORS de un sitio web está mal configurada e implementada.
CORS no es una protección contra los ataques de origen cruzado, como la falsificación de solicitudes entre sitios (CSRF).
Compartir recursos entre orígenes (CORS) es una especificación tecnológica de los navegadores que define un medio para que un servidor permita el acceso a sus recursos desde una página web de un dominio diferente. De lo contrario, este tipo de acceso sería denegado por la misma política de origen.
En base a esto, CORS en Mautic te permite “restringir” los dominios que podrán enviar solicitudes o peticiones a Mautic. Si tienes varios sitios web que guardan relación entre ellos (webs corporativas de la misma empresa), sitio web gestionado por subdominios (web, academia, foro, etc.) podrás añadir las diferentes urls de dominios o subdominios de los que Mautic podrá capturar datos y que recibirán datos de la herramienta.
Imagínate un usuario malintencionado que coge el script de tu formulario y lo inserta en el sitio web de tu competencia o realiza ataques a través de bots.
Con CORS te aseguras de aceptar tráfico o peticiones únicamente de los dominios que has indicado y el resto se descartan. Esto garantiza además que tus visitantes o clientes potenciales provienen de lugares de confianza.
Ejemplo de urls o dominios que puedes añadir en la configuración de CORS en Mautic:
- https://cursos.dominio.com
- https://www.dominio.com
- https://foro.dominio.com
- https://www.tienda-woocommerce.es
Observa que los dominios o subdominios se añaden en CORS sin barra inclinada o slat / al final de la url.
Recursos de origen cruzado
La configuración de CORS no está establecida para todos los dominios/subdominios, incluyendo www y no www
En el panel de Configuración > Ajustes del sistema, en Mautic, encontrarás un conmutador llamado Ajustes CORS.
Dado que tu instancia de Mautic está probablemente instalada en un subdominio de tu URL principal, como https://mautic.tu-dominio.com, cuando incrustas el píxel de seguimiento en tu sitio web https://tu-dominio.com o https://www.tu-dominio.com para conectar con tu instalación de Mautic, esto se considera de origen cruzado.
Si no se incluyen todos los dominios y subdominios en la configuración de CORS, el píxel de seguimiento de Mautic puede funcionar mal. Tienes que incluir las versiones www y no www de tu sitio web.
Es una buena idea dejar la opción Restringir CORS en “Sí”, ya que esto reducirá la prevalencia de los bots que son rastreados como clientes anónimos por Mautic.
Resumen
Ten en cuenta que lo más recomendable es habilitar en la configuración de Mautic, en el apartado de Configuración de CORS (Cross-Origin Resource Sharing), la opción de Restringir Dominios a SI y habilitar los dominios que vayas a sincronizar con Mautic, añadiendo cada uno de ellos en el campo Dominios Válidos, con formato https://www.dominio.com o https://dominio.com dependiendo de como esté configurada, con o sin www, cada web que enlaces con Mautic.
En el caso que no tengas habilitado CORS tu Mautic será menos seguro, si tienes habilitado CORS y no añades en “Dominios Válidos” los dominios que quieras enlazar con Mautic, Mautic rechazará los datos que le envíen desde esos dominios no autorizados.
Cuestionario de Preguntas