¿Qué es la prueba CORS de Postman? - Todo lo que debes saber

En el mundo del desarrollo web, garantizar una comunicación segura entre una aplicación front-end y una API backend es primordial. El Intercambio de Recursos de Origen Cruzado (CORS) sirve como un mecanismo de seguridad crítico que rige cómo los navegadores web manejan las solicitudes realizadas a un dominio diferente del que sirvió la página web inicial.

💡

Apidog es una solución integral para todas las preocupaciones de la API de los desarrolladores de API. Es una alternativa viable a Postman, que ofrece una interfaz de usuario que es simplista e intuitiva, lo que permite a los nuevos usuarios adaptarse rápidamente al nuevo entorno de desarrollo.

¡Obtenga más información sobre Apidog haciendo clic en el botón de abajo!

button

Comprender y probar eficazmente las configuraciones de CORS es esencial para un desarrollo de API sin problemas. Este artículo profundiza en el concepto de la prueba CORS de Postman, equipando a los desarrolladores con una comprensión integral de cómo aprovechar esta funcionalidad dentro de la popular plataforma de desarrollo de API.

¿Qué es CORS?

El Intercambio de Recursos de Origen Cruzado (CORS) es un concepto de seguridad web implementado por los navegadores web para mitigar los riesgos de seguridad potenciales asociados con tales solicitudes de origen cruzado. De forma predeterminada, los navegadores restringen que una página web realice solicitudes a un dominio diferente al que sirvió la página. Esto evita que scripts maliciosos de un dominio accedan a datos confidenciales en otro dominio.

Elementos clave de CORS

Origen

El origen de una solicitud es una combinación de tres partes: protocolo (como https), nombre de host (por ejemplo, www.example.com) y número de puerto (a menudo 80 para el tráfico web estándar). Esencialmente, identifica de dónde se origina una solicitud. Por ejemplo, https://www.example.com:8080 es una cadena de origen completa.

Solicitudes de comprobación previa

Para ciertos métodos HTTP considerados "preventivos" (por ejemplo, OPTIONS, GET, HEAD), los navegadores pueden enviar una solicitud de comprobación previa (OPTIONS) antes de la solicitud real. Esta solicitud de comprobación previa actúa como un explorador, preguntando al servidor si la solicitud específica está incluso permitida.

Encabezados CORS

Los servidores pueden incluir encabezados HTTP específicos en sus respuestas para indicar si se permite una solicitud de origen cruzado. Estos encabezados definen varios aspectos de la interacción permitida:

Access-Control-Allow-Origin: Este encabezado especifica qué orígenes pueden acceder al recurso. Puede ser un dominio específico (como https://www.example.com) o un carácter comodín (*) para permitir todos los orígenes (generalmente desaconsejado por razones de seguridad).
Access-Control-Allow-Methods: Este encabezado define los métodos HTTP (GET, POST, PUT, DELETE, etc.) que están permitidos para las solicitudes CORS.
Access-Control-Allow-Headers: Este encabezado especifica qué campos de encabezado HTTP se pueden incluir en los encabezados de solicitud CORS (por ejemplo, Content-Type, Authorization).
Access-Control-Allow-Credentials: Este encabezado indica si se permite incluir credenciales (como cookies o tokens de autorización) en las solicitudes CORS. El valor normalmente se establece en true o false.

Solicitudes simples vs. Solicitudes de comprobación previa

Según el método HTTP, los encabezados utilizados y la presencia de credenciales, las solicitudes CORS se pueden clasificar como solicitudes simples o solicitudes de comprobación previa. Las solicitudes simples no desencadenan una solicitud de comprobación previa, mientras que las solicitudes de comprobación previa sí lo hacen, lo que garantiza que el servidor permita ese tipo de interacción de origen cruzado.

Propósitos de las pruebas CORS

Las pruebas CORS se utilizan para verificar cómo un navegador web maneja las solicitudes realizadas a un dominio (origen) diferente del que sirvió la página web inicial. Esto garantiza que se acceda a los recursos de forma segura y según lo previsto. Aquí hay un desglose de sus propósitos clave:

Garantizar la accesibilidad de la API

Las aplicaciones web modernas a menudo dependen de las API alojadas en dominios separados. Las pruebas CORS ayudan a los desarrolladores a confirmar que su aplicación frontend (que se ejecuta en un dominio) puede acceder e interactuar con éxito con la API backend (en un dominio diferente) sin encontrar restricciones CORS.

Depuración de problemas de CORS

Si una aplicación frontend experimenta problemas al obtener datos de una API backend, las configuraciones incorrectas de CORS podrían ser la causa. Las pruebas CORS ayudan a identificar estos problemas simulando solicitudes desde la perspectiva del frontend y analizando los encabezados de respuesta del servidor.

Verificación de la configuración de CORS

Al configurar CORS en un servidor backend, las pruebas CORS proporcionan una forma de validar si los encabezados están configurados correctamente. Los desarrolladores pueden probar con diferentes orígenes, métodos y encabezados para garantizar que el servidor responda adecuadamente de acuerdo con la política CORS deseada.

Prevención de vulnerabilidades de seguridad

Las configuraciones incorrectas de CORS pueden introducir vulnerabilidades de seguridad. Al probar CORS, los desarrolladores pueden identificar posibles debilidades y garantizar que solo los orígenes autorizados puedan acceder a recursos confidenciales.

Guía paso a paso sobre las pruebas CORS en Postman

Paso 1: cree una cuenta de Postman

Primero, deberá crear una nueva cuenta de Postman (solo si no tiene una) y descargar la aplicación Postman en su dispositivo. La aplicación proporciona más utilidad en comparación con su versión web.

Paso 2: cree una nueva solicitud de API en Postman

Una vez que haya instalado Postman, cree una nueva solicitud haciendo clic en el botón New en la esquina superior izquierda de la ventana de Postman. Seleccione HTTP Request para crear una nueva solicitud, como se muestra en la imagen anterior.

Paso 3: ingrese el método y los detalles de la API

A continuación, debe incluir los detalles de la solicitud de API que desea crear. Debe incluir componentes como la URL, los métodos HTTP y los parámetros adicionales que requerirá la API.

Paso 4: configure el encabezado de la solicitud de API

En la sección Headers, agregue un nuevo encabezado con una Key llamada "Origin" y el valor como la URL base. Este valor de Key "Origin" se utilizará para simular el encabezado enviado por el navegador durante una solicitud de origen cruzado.

Paso 5: vea el encabezado de respuesta de la API

Finalmente, puede verificar los encabezados CORS relacionados en la sección de encabezado como se ve en la imagen anterior.

Apidog: ejecute pruebas CORS y más

Apidog es una excelente plataforma de desarrollo de API que le permite construir, probar, simular y documentar API. Apidog también es capaz de proporcionar casos de prueba de varios pasos, escenarios de prueba, para garantizar que sus API se ejecuten sin problemas.

button

Prueba de API con Apidog

El primer paso es ingresar el punto final de la API específico que desea probar. Incluya detalles adicionales, como parámetros, si es necesario para la API específica que está probando.

Si no está seguro de cómo usar múltiples parámetros en una URL, este artículo (enlace no incluido) puede guiarlo sobre cómo acceder al recurso exacto dentro de conjuntos de datos más grandes.

Utilización de escenarios de prueba para su API con Apidog

¿Quiere probar su API como se usa en situaciones cotidianas? La función de escenario de prueba de Apidog le permite crear escenarios de prueba complejos, imitando interacciones del mundo real.

En primer lugar, pulse el botón Testing, seguido del botón + New Test Scenario.

Apidog le pedirá que complete los detalles de su nuevo escenario de prueba. Asegúrese de darle un nombre adecuado para que su función sea predecible.

Continúe agregando un paso (o muchos más pasos) a sus escenarios de prueba haciendo clic en la sección Add Step. Debería poder ver la imagen a continuación.

Seleccione "Import from API" en el menú desplegable.

add soap api web service test case scenario apidog

A continuación, seleccione todas las API que le gustaría incluir en su escenario de prueba. En el ejemplo anterior, se ha incluido la API llamada NumberConversionSOAP.

edit testing environment start run test scenario apidog

Antes de pulsar el botón Run para iniciar su escenario de prueba, asegúrese de cambiar el entorno del escenario de prueba, que debería ser Testing Env, como se indica en la flecha 1.

Al analizar el rendimiento de su API, obtiene información valiosa sobre sus fortalezas y debilidades. Este conocimiento es clave para tomar decisiones informadas sobre cómo mejorar su API en la siguiente fase de desarrollo.

Conclusión

La prueba CORS de Postman permite a los desarrolladores contar con una herramienta eficaz y fácil de usar para garantizar una comunicación fluida entre las aplicaciones frontend y las API backend. Al comprender los fundamentos de CORS y aprovechar las capacidades de prueba de Postman, los desarrolladores pueden optimizar los flujos de trabajo de desarrollo, identificar y rectificar las configuraciones incorrectas de CORS y, en última instancia, crear aplicaciones web seguras y sólidas.

A través de la configuración y las pruebas adecuadas de CORS, los desarrolladores pueden garantizar que sus API funcionen según lo previsto, cumpliendo con los mecanismos de seguridad del navegador y permitiendo el acceso sin restricciones desde orígenes autorizados. Al seguir los pasos descritos en este artículo e integrar las pruebas CORS de Postman en su proceso de desarrollo, los desarrolladores pueden fomentar una experiencia de desarrollo web más segura y eficiente.

button