14-16 Mar 2026
Voltar ao Plano

Corrigir CORS — remover AllowAnyOrigin

ACT-1.3
ImediataCritica — esta semanaEsforco: PComplexidade: BaixaParalelizavel
Por que e urgente

`AllowAnyOrigin()` permite que qualquer site faca requests autenticados a API com tokens JWT roubados ou via XSS

Risco de nao fazer

Ataques CSRF/XSS triviais contra qualquer usuario autenticado

Modulos Impactados

aspnet-core/src/cargo_fleet.HttpApi.Host/cargo_fleetHttpApiHostModule.cs

Passos de Implementacao

  1. 1Substituir `AllowAnyOrigin()` por `builder.WithOrigins(corsOrigins).AllowAnyHeader().AllowAnyMethod().AllowCredentials()` lendo origens de `App:CorsOrigins`
  2. 2Verificar que `App:CorsOrigins` no ConfigMap de producao inclui `https://acesso.cargofleet.app.br`
  3. 3Testar em homologacao antes de deploy em producao

Achados Relacionados

CRIT-03
AnteriorACT-1.2 Rotacionar token Meta/WhatsApp API
ProximoAumentar maxmemory do Redis de 2MB para 256MB+ ACT-1.4