Cors API

Producto

Un plano de control completo para tráfico API seguro en el navegador

Proxy CORS autoalojado con listas permitidas, cuotas, claves API, observabilidad y gobernanza de equipos — para que tus frontends llamen APIs de terceros sin convertir tu red en un relay abierto.

Crear cuentaLeer la guía
Blog técnicoInicio

Por qué los equipos usan CorsAPI para acceso API entre orígenes

Las aplicaciones web modernas llaman constantemente a APIs de pago, identidad, analítica y socios. Los navegadores aplican la misma política de origen y CORS; una mala configuración se traduce en fallos silenciosos en producción. CorsAPI centraliza reglas CORS, hosts y rutas upstream permitidos y límites por proyecto para que tus equipos entreguen valor más rápido sin parchar cada servicio upstream.

Tú conservas los datos en tu propia infraestructura. En el panel creas proyectos, listas orígenes del navegador, defines qué nombres DNS y prefijos de URL pueden alcanzarse y emites claves API. El tráfico se atribuye a una clave de proyecto: puedes rotar credenciales, leer uso y detectar picos antes de que se conviertan en caídas.

Tanto si ejecutas una SPA, una app móvil con WebView o workers en servidor que usan el mismo proxy, el mismo modelo de política aplica: listas explícitas, cuotas y analítica — no un proxy abierto genérico.

Nivel gratuito de un vistazo

Los números reflejan los límites activos para nuevos espacios de trabajo en este despliegue. Úsalos al dimensionar entornos de prueba y producción.

5

Proyectos por cuenta

Espacios separados para staging, producción o líneas de producto.

120

Peticiones por minuto (tope)

Tope por proyecto ajustable dentro del límite del nivel gratuito.

20

Orígenes de navegador por proyecto

Puertos localhost, URLs de preview y dominios de producción.

Pensado para flujos de entrega reales

Del desarrollo local al despliegue en producción — las mismas piezas de política aplican.

Equipos frontend con SPAs

Lista todos los orígenes que necesitas en desarrollo y producción; luego estrecha hosts y rutas cuando las integraciones se estabilicen. El probador de proxy en el panel reproduce el mismo comportamiento CORS y de política que ven tus usuarios.

  • La lista de orígenes cubre localhost y despliegues preview
  • Reglas de host y ruta evitan llamadas demasiado amplias por error
  • Cabeceras de cuota ayudan a frenar antes del error duro

Plataforma y operadores SRE

Las rutas de salud admiten sondas de readiness; el uso diario y las tasas de error destacan regresiones. Las muestras de latencia p95 junto al volumen ayudan a separar lentitud upstream de problemas del cliente.

  • Endpoints de salud para liveness y readiness
  • Agregados diarios de peticiones, errores y latencia
  • Claves por proyecto para propiedad y rotación claras

Organizaciones con enfoque en seguridad

Listas de métodos, límites de tamaño de cuerpo, filtrado de cabeceras y cabeceras de endurecimiento opcionales reducen fugas y abuso. Organizaciones y roles mantienen la gobernanza alineada al crecer los equipos.

  • Política por proyecto, no parches ad hoc en servidores
  • Filtrado de cabeceras y controles IP donde los actives
  • Flujos de exportación y borrado para programas de privacidad

Proxy y puerta de enlace

CORS, listas permitidas y cuotas: el tráfico que sale del navegador o del servidor pasa por las reglas que defines.

  • CORS y preflight OPTIONS

    Define orígenes del navegador por línea; el proxy emite respuestas CORS según la política del proyecto — sin parches improvisados en los servicios upstream.

  • Listas de host y ruta

    Solo son accesibles los hosts upstream y prefijos de ruta aprobados. No es un relé abierto: el tráfico queda acotado a las reglas que configures.

  • Claves API por proyecto

    Emite y revoca claves con prefijos; envía X-CorsAPI-Key o Authorization: Bearer desde navegadores o servidores dentro de los límites del nivel gratuito.

  • Cuotas por minuto y cabeceras

    Define un tope de solicitudes por minuto por proyecto; las respuestas correctas pueden incluir pistas de cuota (p. ej. cabeceras estilo X-RateLimit-*).

Observabilidad

Volumen, errores y latencia en un solo lugar — antes de que los usuarios abran un ticket.

  • Uso diario y errores

    Agregados diarios por proyecto: recuentos de peticiones, desglose 4xx/5xx y agregados de latencia — para ver tendencias antes que los usuarios.

  • Muestras de latencia p95

    Detecta lentitud upstream con muestras de percentiles junto al volumen — útil para SLOs y regresiones.

  • Probador de proxy en el panel

    Envía peticiones de prueba por el proxy desde el navegador con método, URL, cabeceras extra y cuerpo opcional — aplican tus reglas CORS y de política.

Seguridad y política

Restringe qué métodos, cabeceras y cuerpos pueden fluir por el proxy en cada proyecto.

  • Política de seguridad por proyecto

    Listas de métodos HTTP, tamaño máximo del cuerpo, listas de IP de cliente, filtrado de cabeceras, expectativas HTTPS upstream, tiempos de espera y límites de redirección.

  • Filtrado de cabeceras

    Controla qué cabeceras de petición llegan al upstream y cuáles de respuesta vuelven al cliente — reduce fugas de cookies y huella digital.

  • Cabeceras de respuesta de endurecimiento

    Activa cabeceras de seguridad habituales en las respuestas del proxy para mejorar la protección en el navegador de tus frontends.

Plataforma y cumplimiento

Cuentas, equipos, descripciones API legibles por máquina y operaciones respetuosas con la privacidad.

  • Organizaciones y roles

    Colabora en equipo: espacios de trabajo, proyectos y roles (propietario, administrador, miembro) para gobernanza compartida.

  • Cuentas y verificación por correo

    Registro con verificación SMTP cuando esté configurado; flujos de contraseña y cookies de sesión para el panel.

  • OpenAPI y salud

    Descripciones API legibles por máquina para integraciones; documentación interactiva cuando tu despliegue la expone. Rutas de salud como /health/live y /health/ready para sondas y despliegues.

  • Límites del nivel gratuito documentados

    GET público /api/plan/limits devuelve los topes activos de proyectos, orígenes, claves y cuota — ideal para paneles y comprobaciones tras el despliegue.

  • Exportación de datos y borrado de cuenta

    Los ajustes permiten exportar y borrar la cuenta — importante para procesos tipo RGPD o alineados con KVKK cuando autoalojas datos.

Cómo encaja CorsAPI en tu arquitectura

CorsAPI no es un túnel HTTP genérico. Es un proxy con políticas estrictas entre tus clientes y las APIs de tercero aprobadas, con identidad y cuotas por proyecto.

Los clientes de navegador envían la cabecera Origin; el proxy debe permitir ese origen para que la petición tenga éxito. Los clientes de servidor omiten CORS pero aún deben enviar una clave de proyecto válida y respetar host y ruta — así el mismo proyecto puede servir frontends públicos y workers privados sin duplicar configuración upstream.

Las cuotas se aplican por minuto y por clave de proyecto. Protege la infraestructura compartida y te da un control predecible cuando una API de socio cambia límites o un release falla. Las cabeceras de respuesta suelen incluir pistas de cuota para que los clientes bien diseñados frenen antes de HTTP 429.

Para cumplimiento, controlas dónde corre el servicio y quién accede al panel. OpenAPI y salud ayudan a automatizar verificaciones; exportación y borrado apoyan procesos de titulares de datos cuando operas en tu propia infraestructura.

Preguntas frecuentes

¿CorsAPI es un proxy HTTP abierto?+

No. Solo los hosts upstream y prefijos de ruta que permites en un proyecto pueden alcanzarse. Las peticiones deben incluir una clave API de proyecto válida y superar CORS y políticas. Ese diseño evita abuso de relay anónimo.

¿Puedo usar el mismo proyecto desde navegador y servidor?+

Sí. Las llamadas del navegador deben enviar un Origin permitido; las del servidor suelen omitir Origin pero envían la clave. Muchos equipos usan claves distintas para tráfico cliente y servidor para mantener claras rotación y cuotas.

¿Cómo funcionan las cuotas?+

Cada proyecto tiene un presupuesto de peticiones por minuto. Las respuestas correctas pueden incluir pistas de cuota. Cuando se agota el presupuesto, el servicio puede devolver HTTP 429 hasta que se reinicie la ventana.

¿Qué observabilidad obtengo?+

Los resúmenes diarios por proyecto incluyen recuentos de peticiones, desglose de errores y agregados de latencia con muestras p95. Úsalos para SLOs y regresiones tras despliegues o cambios de proveedor.

¿Y el endurecimiento de seguridad?+

Puedes configurar listas de métodos, límites de tamaño de cuerpo, filtrado de cabeceras y cabeceras de endurecimiento opcionales por proyecto. Combina con listas de IP si tu modelo de amenaza lo requiere.

¿Dónde leo más?+

Empieza por la guía de uso en la documentación; explora el blog sobre CORS y gateways. La referencia API describe parámetros del proxy y rutas auxiliares para tu despliegue.

¿Listo para probar CorsAPI en tu stack?

Crea una cuenta gratuita, configura tu primer proyecto y lanza una petición de prueba desde el panel en minutos.

Crear cuentaLeer la guía