A segurança de aplicações Web é sempre discutida em todos os projetos que realizamos aqui na Powertic. O Wordpress através de plugins permite limitar o acesso ao painel administrativo e outros recursos da plataforma e o Cors do Mautic auxilia na proteção da sua plataforma. Segundo a Wikipédia:
Cross-origin resource sharing (CORS)(ou compartilhamento de recursos de origem cruzada) é uma especificação de uma tecnologia de navegadores que define meios para um servidor permitir que seus recursos sejam acessados por uma página web de um domínio diferente. Esse tipo de acesso seria de outra forma negado pela same origin policy. CORS define um meio pelo qual um navegador e um servidor web podem interagir para determinar se devem ou não utilizar/permitir requisições cross-origem. É um acordo que permite grande flexibilidade, mas é mais seguro que permitir todos as requisições desse tipo.
Trazendo para o mundo do Mautic podemos assegurar que somente domínios de nossa confiança enviem requisições para nossa instalação do Mautic. Pense que alguém com má intenção pode colocar o script do seu form em um site concorrente ou pode realizar ataques através de bots.
Com o CORS você assegura que somente os domínios que você liberou serão aceitos e o restante é descartado. Isso garante uma série de benefícios e também faz você ter certeza que seus Leads estão vindo dos locais que você confia.
Essa segurança a mais ajuda muito quem tem instalações críticas do Mautic ou enfrenta problemas com concorrência desleal.
Ativando o CORS no Mautic
Para ativar o CORS é bem simples, basta ir até o painel de Configurações do Mautic e localizar a seção CORS. Veja:
Após habilitar a opção “Domínios Restritos”, você deverá incluir em cada linha todos os seus sites confiáveis como mostra a imagem acima.
Desabilitando o CORS do Mautic
Muita gente encontra problemas com a configuração do CORS e nesse caso específico é recomendado desabilitar a proteção. Lembre-se que o CORS existe para proteger hits no seu mautic somente dos domínios que você permitir e desabilitar a função pode resolver algum problemas mas abre algumas brechas de segurança. Use por sua conta e risco.
Este ajuste corrige o seguinte problema:
XMLHttpRequest cannot load. Response to preflight request doesn't pass access control check: No 'Access-Control-Allow-Origin' header is present on the requested resource.
Um grande abraço e até a próxima!