CORS permisivo en n8n
Por qué permitir todos los orígenes puede exponer tus workflows a ataques cross-site
¿Qué es este problema?
Cross-Origin Resource Sharing (CORS) controla qué sitios web pueden hacer requests a tu instancia n8n. Cuando está configurado como '*' (permitir todos), cualquier sitio web puede invocar tus webhooks y potencialmente acceder a datos sensibles.
Señales de CORS permisivo:
•Access-Control-Allow-Origin configurado como '*'•Sin validación de origen en endpoints de webhook•Webhooks públicos aceptando requests de cualquier dominio•Configuración de headers CORS faltante
¿Por qué es peligroso?
Ataques CSRF
Sitios maliciosos pueden disparar tus workflows en nombre de usuarios autenticados.
Exfiltración de datos
Atacantes pueden leer datos de respuesta de tus webhooks vía requests cross-origin.
Robo de credenciales
Si las respuestas incluyen tokens o secretos, pueden ser robados cross-origin.
Daño de reputación
Tu instancia n8n podría usarse como proxy para ataques a otros servicios.
Cómo solucionarlo
- 1
Restringir orígenes permitidos
Establece N8N_CORS_ALLOWED_ORIGINS a tu(s) dominio(s) específico(s) en lugar de '*'.
- 2
Usar autenticación de webhook
Siempre requiere autenticación en webhooks para prevenir acceso no autorizado.
- 3
Validar header Origin
En nodos Code, valida el header Origin antes de procesar requests.
- 4
Usar n8n detrás de reverse proxy
Configura CORS a nivel de reverse proxy para más control.
Escanea tu workflow ahora
Sube tu archivo JSON de n8n y detecta webhooks que pueden ser vulnerables a ataques cross-origin.