Säkerhetskontroll

CORS-kontroll: läck inte ditt API till vilken sajt som helst

En för tillåtande CORS-policy låter angriparsajter läsa ditt API i användarens namn. Vi kontrollerar dina Access-Control-headers och flaggar de farliga kombinationerna.

Kör gratis domänscan Alla kontroller →
Berör: OWASP · API Security Top 10 ISO 27001 · A.8.9 NIS2 · art. 21

Vad kontrolleras?

Vi kontrollerar dina Access-Control-Allow-Origin- och -Allow-Credentials-headers: speglas origin okritiskt, används * tillsammans med credentials, och tillåts null-origin?

Varför spelar det roll?

CORS styr vilka andra webbplatser som får läsa svaren från ditt API i en inloggad användares session. En felaktig policy gör att en angriparsajt kan exfiltrera användardata — ett vanligt fynd i API-granskningar.

Hur Security Guru testar det

Vanliga fel

  • Spegla tillbaka valfri Origin utan allowlist
  • Allow-Origin: * med credentials
  • Tillåta null-origin (kringgås enkelt)
  • Ingen skillnad mellan publika och känsliga endpoints

Vad du får i rapporten

  • CORS-policy per endpoint med exakta headers
  • Farliga kombinationer rankade efter risk
  • Rekommenderad allowlist-baserad policy
  • Mappning mot OWASP API Security / ISO A.8.9

Vanliga frågor

Är * alltid fel?

Nej — för helt publika, credential-lösa API:er kan * vara ok. Faran är * eller origin-spegling TILLSAMMANS med credentials/cookies.

Testar ni med inloggning?

Vi testar hur headers svarar på olika origins; vi behöver inte era credentials för själva CORS-kontrollen.

Påverkar det mitt API?

Nej — det är läs-endast preflight/origin-tester.

Vill du veta din status?

Kör en gratis scan eller beställ en full Security Assessment — prioriterat, inte brus.

Kör gratis domänscan