ZenovayTools

Verificador de Política de Origen Cruzado

Verifica los encabezados Cross-Origin-Opener-Policy (COOP), Cross-Origin-Embedder-Policy (COEP) y Cross-Origin-Resource-Policy (CORP). Estos encabezados habilitan características de aislamiento del navegador necesarias para SharedArrayBuffer y temporizadores de alta resolución. Obtén una puntuación de seguridad y guía de configuración.

Cómo usar Verificador de Política de Origen Cruzado

  1. 1Ingresa una URL para verificar los encabezados de aislamiento de origen cruzado.
  2. 2Se obtienen y analizan los encabezados COOP, COEP y CORP.
  3. 3Se explica cada valor de encabezado con implicaciones de seguridad.
  4. 4Se muestran el estado del aislamiento de origen cruzado y recomendaciones.
ZenovayAnalytics

Analytics sin ningún aviso de cookies.

  • Seguimiento de visitantes en tiempo real
  • Privacidad primero, sin aviso de cookies
  • Configurado en dos minutos
Descubre Zenovay

Herramientas relacionadas

Generador de Contraseñas
Genera contraseñas fuertes y aleatorias con longitud, caracteres y complejidad personalizables.
Verificador de Fortaleza de Contraseña
Verifica qué tan fuerte es tu contraseña. Obtén un tiempo estimado de descifrado y sugerencias de mejora.
Generador HMAC
Genera firmas HMAC usando SHA-256, SHA-384 o SHA-512 con la API Web Crypto.
Cifrado/Descifrado AES
Cifra y descifra texto usando AES-GCM con derivación de clave PBKDF2. Se ejecuta completamente en tu navegador.

Preguntas frecuentes

¿Qué son las cabeceras COOP, COEP y CORP?
Estas tres cabeceras trabajan juntas para habilitar el aislamiento entre orígenes en los navegadores: (1) Cross-Origin-Opener-Policy (COOP) — controla si su página puede compartir un grupo de contexto de navegación con popups de orígenes cruzados; (2) Cross-Origin-Embedder-Policy (COEP) — requiere que todos los recursos cargados por su página tengan permiso explícito de origen cruzado; (3) Cross-Origin-Resource-Policy (CORP) — controla quién puede cargar un recurso específico. Juntas previenen ataques de canal lateral similares a Spectre.
¿Qué es el aislamiento entre orígenes y por qué lo necesito?
El aislamiento entre orígenes es un estado de seguridad del navegador que habilita temporizadores de alta resolución (performance.now()), SharedArrayBuffer y hilos WASM. Estas funcionalidades fueron deshabilitadas tras descubrirse la vulnerabilidad Spectre porque podían explotarse para ataques de temporización. Una página se convierte en aislada entre orígenes cuando establece tanto COOP: same-origin como COEP: require-corp (o credentialless).
¿Cuál es la diferencia entre require-corp y credentialless para COEP?
COEP: require-corp requiere que cada recurso de origen cruzado opte explícitamente a través de una cabecera CORS o Cross-Origin-Resource-Policy. Es estricto pero puede romper cosas: los recursos de terceros sin estas cabeceras no se cargarán. COEP: credentialless (más reciente) carga recursos de origen cruzado sin enviar credenciales (cookies, certificados de cliente), permitiéndoles cargarse sin cabeceras CORS/CORP pero eliminando su contexto de autenticación. credentialless es más fácil de implementar pero requiere soporte del navegador (Chrome 96+, Firefox 119+).
¿Cómo implemento COOP sin romper OAuth y SSO?
Los flujos OAuth usan ventanas emergentes que necesitan comunicarse de vuelta a la ventana abriente. Con COOP: same-origin, esta comunicación mediante window.opener queda bloqueada. Soluciones: (1) Use COOP: same-origin-allow-popups como paso intermedio. (2) Use postMessage() en lugar de window.opener para la comunicación de devolución de llamada OAuth (la mayoría de las bibliotecas OAuth modernas ya hacen esto). (3) Si su proveedor de OAuth abre un popup, asegúrese de que también establezcan COOP en su dominio.
¿Para qué sirve Cross-Origin-Resource-Policy (CORP)?
CORP evita que otros sitios web incrusten sus recursos privados mediante <img>, <script> o <iframe>. Sin CORP, cualquier sitio web puede cargar su imagen autenticada en suapp.com/user/avatar.png y deducir información de ella (p. ej., si un usuario ha iniciado sesión). Establezca CORP: same-origin en recursos de datos privados de usuarios. Establezca CORP: cross-origin en recursos CDN públicos que necesiten incrustarse en cualquier lugar.