Base de Conhecimento

  1. Suporte
  2. Base de Conhecimento
  3. Hospedagem de Sites
  4. Como ativar CORS no seu site/domínio (.htaccess, Apache) — exemplos seguros

  Categorias

Domínio
2
E-mails
3
Erros
8
Gerenciamento e Servidores
121
Hospedagem de Sites
5
Perguntas frequentes
11
Revendas
13
Streaming de Áudio
32
Streaming de Vídeo
10
Suporte
1
WHMCS
2
Windows
1

  Categorias

  Tag da nuvem

.htaccess .htpasswd /cpanel /webmail /whm 2FA 4Ps 5 6 644 7 755 A record abandono de carrinho Access denied Access-Control-Allow-Credentials Access-Control-Allow-Headers Access-Control-Allow-Methods Access-Control-Allow-Origin acentos acessar acessar cPanel pela área do cliente acessar webmail cPanel acesso root acesso seguro adicionar assinatura adicionar host ajustar hora alerta de certificado alterar DNS alterar senha root Android antispam ao aovivo apache Apache 2 API apontar DNS apontar domínio área do cliente arquivo .gif assinatura corporativa assinatura de e-mail assinatura HTML atualização do site não aparece atualização Windows 10/11 autenticação em dois fatores Authorization auto AutoDJ automação de hospedagem automação de marketing AutoSSL backup automático bandwidth limit exceeded bitrate Black Friday blacklist blog branding brasilia cabeçalhos de e-mail CAC cache cache CDN cache DNS cache do navegador cache do servidor cache e performance calendário sazonal caminho relativo canais digitais captura de tela cast CDN cel celular centos centos 6 centova Centova Cast Central do Cliente certificado SSL CGI check email Chrome ciclo de pagamento ciphers cloud Cmd+Shift+Delete Cmd+Shift+R CMS WordPress CNAME cobrança automática cobrança proporcional comandos como compatibilidade conceder condições de filtro conectar conexão conexão lenta conexão MySQL conexão rápida configuração configuração Outlook configuração Roundcube configurar configurar e-mail contas de e-mail conteúdo conteúdo legado cookies CORS cota de caixa postal cpanel cPanel Exim CPU e RAM credenciais MySQL crédito em fatura criar banco de dados criar e-mail no cPanel CRO CSF Ctrl+F5 Ctrl+Shift+Del Cyber Monday debian 7 DefaultSecureProtocols desativar ModSecurity desativar por domínio DevTools diagnóstico de rede DirectoryIndex disco dj DKIM dns DNS personalizado dominio domínio .br domínio não abre domínio no outro provedor downgrade de plano e-mail e-mail e MX e-mail marketing e-mails Edge encaminhar e-mail encoder endereço do servidor endereço provisório entregabilidade enviar erro 403 erro 500 erro 509 erro banco de dados erro database connection erro de conexão erro de criptografia error_log espaço espaço em disco esqueci minha senha esqueci usuário e senha estabilidade da transmissão exim Exim IP rotativo exim.conf exim.pl.local falso positivo faturamento recorrente fazer file FileZilla filtro de e-mail filtros cPanel filtros Webmail Firefox firewall de aplicação forbidden FPS ftp FTPS funil de vendas fuso fuso horário gerenciador de arquivos gestão de clientes GIF para suporte GoDaddy Google Ads gravação de tela gravar tela em GIF guia anônima hard refresh HD horario Horde hospedagem de e-mail hospedagem de sites HostGator hostname hostname do servidor hotlink protection hotlinking HTTP HTTPS Icecast identidade de e-mail IIS imagem 404 imagem na assinatura imagens bloqueadas imagens e fontes imagens não aparecem IMAP index.html index.php infraestrutura instabilidade instalação manual instalar instalar WordPress interface Exim internal server error ip IP do streaming IP externo iPhone janela anônima KB3140245 kernel lamp latência LICEcap limite de ouvintes limite de tráfego limites de recursos limpar cache limpar cookies limpar dados de navegação limpo link de recuperação links na assinatura links permanentes linux localhost localtime Locaweb logar no cPanel login automático login de e-mail logo na assinatura logs Exim logs ModSecurity LTV mail.seudominio.com.br mailhelo mailips maiúsculas e minúsculas marketing para e-commerce marketplace max_execution_time memory_limit Meta Ads meus serviços Microsoft 365 mixed content modelo de assinatura modo passivo ModSecurity mod_security2 monitoramento mostrar cliques do mouse mountpoint móvel mover para pasta MTR Windows multi-node músicas MX MX e e-mail mysql MySQL remoto Namecheap nameservers Natal Nginx novo ns ns1 ns2 ntp obs opções de gerenciamento OpenVPN opticodec organizar caixa de entrada otimização de imagens Outlook ouvintes simultâneos página desatualizada painel painel de controle painel do registrador partições perda de pacotes Perl permalinks permissão permissões persona php PHP 8 pico de audiência plano de marketing playlist/AutoDJ plugins POP3 pophosting porta porta 21 porta 22 porta 3306 porta 465 porta 993 porta do streaming portas 2082 portas 2083 portas 2086 portas 2087 portas 2095 portas 2096 posicionamento preflight OPTIONS privilégios problemas de login propagação de DNS propagação DNS provisionamento automático PTR public_html Python radio rádio online rDNS recarregar forçado recuperar acesso recuperar senha redefinir senha reduzir tamanho do GIF registro de domínio registro de domínios Registro.br registros A regras de filtro relatórios financeiros remarketing remote_smtp repositório reputação de envio reset de senha reverso ROAS Roundcube Rule ID Safari segmentação de público segurança de conta segurança de e-mail segurança servidor segurança web segurança WordPress senha de e-mail senha de source senha forte senha linux SEO para e-commerce servidor servidor linux SFTP Shoutcast sincronização slots SMTP Softaculous software SPAM SPF SquirrelMail ssh sshd SSL SSL/TLS SSO stack STARTTLS streaming streaming de áudio streaming HTTPS studio subdomínio sudo suporte suporte TLS taxa de conversão temas tempo de propagação terminal teste de rota teste no navegador ticket tickets de suporte timezone TLS 1.2 traceroute tráfego tráfego excedido transferência mensal transmissão transmitir travamento trocar DNS do domínio trocar NS trocar plano de hospedagem TTL tutorial GIF ubuntu Unknown database upgrade de plano upload de site URL do player usar domínio próprio uso de banda usuario usuário MySQL usuário root Vary Origin ver detalhes versão do PHP vhosts virtual hosts VirtualHost vivo vox voxstream voxtream WAF WebHost Manager Complete Solution webmail webmin webuzo WhatsApp whitelist WHM WHM Exim Advanced Editor WHMCS Windows 7 WinHTTP WinMTR WordPress WordPress cache WordPress Toolkit WordPress uploads WordPress URL WordPress/WHM root wp-config.php WWW X-Spam-Flag X-Spam-Status xcast you don’t have permission to access yum zilla zona DNS zone

  Suporte

Meus Tickets de Suporte
News
Base de Conhecimento
Downloads
Status da Rede
Abrir Ticket

Como ativar CORS no seu site/domínio (.htaccess, Apache) — exemplos seguros imprimir

  • CDN, Access-Control-Allow-Methods, API, Access-Control-Allow-Headers, Access-Control-Allow-Origin, Nginx, cPanel, preflight OPTIONS, Access-Control-Allow-Credentials, CORS, cookies, imagens e fontes, Authorization, Apache, Vary Origin, .htaccess
  • 0

Tempo estimado: 3–8 min  |  Nível: Intermediário

O CORS (Cross-Origin Resource Sharing) permite que seu site (origem A) acesse recursos hospedados em outro domínio/subdomínio (origem B). Você habilita CORS informando ao navegador quais origens podem acessar seus arquivos/API.

Resumo rápido: Você pode liberar CORS no Apache via .htaccess. Evite * em APIs autenticadas. Para arquivos estáticos públicos (imagens, fontes), * costuma ser aceitável.

Onde configurar (Apache / cPanel)

Envie/edite o arquivo .htaccess na pasta pública do seu site (ex.: public_html). As regras abaixo se aplicam ao Apache.

Exemplo 1 — CORS aberto para arquivos estáticos (imagens, fontes, CSS, JS)

Use quando os arquivos são públicos e não contêm dados sensíveis.

<IfModule mod_headers.c>
  <FilesMatch "\.(jpg|jpeg|png|gif|webp|svg|css|js|woff|woff2|ttf|otf)$">
    Header set Access-Control-Allow-Origin "*"
    Header set Vary "Origin"
  </FilesMatch>
</IfModule>

Exemplo 2 — Permitir apenas origens específicas (recomendado para APIs)

Troque pelos seus domínios. Mais seguro que *.

<IfModule mod_headers.c>
  SetEnvIf Origin "^https?://(www\.)?(app\.meudominio\.com\.br|meusite\.com\.br)$" ORIGIN_OK=$0

  Header always set Access-Control-Allow-Origin "%{ORIGIN_OK}e" env=ORIGIN_OK
  Header always set Vary "Origin"

  # Métodos e cabeçalhos (ajuste conforme sua API)
  Header always set Access-Control-Allow-Methods "GET, POST, PUT, PATCH, DELETE, OPTIONS"
  Header always set Access-Control-Allow-Headers "Content-Type, Authorization, X-Requested-With"

  # Pré-flight (OPTIONS)
  Header always set Access-Control-Max-Age "600"

  # Se precisar ler headers no front-end
  Header always set Access-Control-Expose-Headers "Content-Length, Content-Type"
</IfModule>

Credenciais (cookies, Authorization) — cuidado!

Se sua API usa cookies ou header Authorization do navegador, você não pode usar *. Defina uma origem específica e ative credenciais:

<IfModule mod_headers.c>
  # Substitua pela SUA origem exata:
  Header always set Access-Control-Allow-Origin "https://app.meudominio.com.br"

  Header always set Access-Control-Allow-Credentials "true"
  Header always set Access-Control-Allow-Methods "GET, POST, OPTIONS"
  Header always set Access-Control-Allow-Headers "Content-Type, Authorization"
  Header always set Vary "Origin"
</IfModule>

Importante: Com Allow-Credentials: true, o valor de Access-Control-Allow-Origin não pode ser *.

Pré-flight (requisições OPTIONS)

Algumas requisições (ex.: POST com Content-Type: application/json) fazem uma checagem OPTIONS antes. Garanta que seu app/servidor responde 200 ao OPTIONS na mesma rota:

  • Se usa framework (Laravel, Node, etc.), certifique-se de que a rota/handler de OPTIONS está habilitada.
  • No Apache, as diretivas acima já devolvem headers; o back-end ainda precisa aceitar o método OPTIONS (ou ignore no app).

Testes rápidos

  • Abra o site no navegador → F12 → aba Network → clique na requisição → verifique os headers Access-Control-*.
  • Se houver erro CORS no Console, o navegador mostrará qual header está faltando.

Erros comuns (e como evitar)

  • Usar “*” em API com cookies/login — falhará; defina origem exata e ative Allow-Credentials.
  • Esquecer “Vary: Origin” — caches/CDNs podem servir header errado para outra origem.
  • Não liberar o método/headers usados — inclua em Allow-Methods / Allow-Headers.
  • Bloqueio em CDN/WAF — ajuste as regras de segurança ou insira os headers no nível da CDN também.
  • Aplicação não responde OPTIONS — habilite a rota OPTIONS ou configure o servidor/back-end para responder 200.

Notas para Nginx / outros ambientes

Se seu site usa Nginx (ou proxy reverso/CDN), os headers devem ser adicionados no servidor/proxy. Exemplo genérico Nginx:

location /api/ {
  add_header Access-Control-Allow-Origin "https://app.meudominio.com.br" always;
  add_header Access-Control-Allow-Credentials "true" always;
  add_header Access-Control-Allow-Methods "GET, POST, OPTIONS" always;
  add_header Access-Control-Allow-Headers "Content-Type, Authorization" always;

  if ($request_method = OPTIONS) {
    return 204;
  }
}
Boas práticas
• Para APIs, liste origens específicas (não use * com login).
• Para assets públicos, pode usar * limitado por extensão (imagens, fontes).
• Mantenha HTTPS e versões atualizadas do servidor/estrutura.
• Documente as origens autorizadas e revise periodicamente.

Modelo para abrir ticket

Assunto: Ativar/ajustar CORS no domínio
Domínio/API: [api.seudominio.com.br / seudominio.com.br]
Origens que devem acessar: [https://app.seudominio.com.br, https://www.seudominio.com.br]
Tipo de requisição: [com credenciais? (cookies/Authorization) Sim/Não] — [métodos/headers usados]
Erro no console: [cole a mensagem CORS do navegador]

Precisa de ajuda?
Fale com nosso suporte. Podemos aplicar a configuração correta para o seu caso (Apache/.htaccess, Nginx/CDN) e validar os headers.

Palavras-chave: CORS, Access-Control-Allow-Origin, .htaccess, Apache, Nginx, credenciais, cookies, Authorization, preflight, OPTIONS, headers CORS, Vary Origin, CDN

Esta resposta lhe foi útil?

Artigos Relacionados

Como acessar cPanel, WHM e Webmail com e sem SSL (portas, URLs e certificado) Tempo estimado: 1–3 min  |  Nível: Iniciante Na hospedagem baseada em cPanel, você pode... Como criar filtros de e-mail no cPanel e Webmail (passo a passo) Tempo estimado: 3–6 min  |  Nível: Iniciante Os filtros de e-mail ajudam a organizar a caixa... Roundcube (cPanel): como criar e usar assinatura de e-mail (HTML) Tempo estimado: 2–4 min  |  Nível: Iniciante Aprenda a inserir uma assinatura de e-mail no... Como instalar o WordPress manualmente? Tempo estimado: 5–20 min  |  Nível: Iniciante a Intermediário Você pode instalar o WordPress...
« Retornar

  Tag da nuvem

.htaccess .htpasswd /cpanel /webmail /whm 2FA 4Ps 5 6 644 7 755 A record abandono de carrinho Access denied Access-Control-Allow-Credentials Access-Control-Allow-Headers Access-Control-Allow-Methods Access-Control-Allow-Origin acentos acessar acessar cPanel pela área do cliente acessar webmail cPanel acesso root acesso seguro adicionar assinatura adicionar host ajustar hora alerta de certificado alterar DNS alterar senha root Android antispam ao aovivo apache Apache 2 API apontar DNS apontar domínio área do cliente arquivo .gif assinatura corporativa assinatura de e-mail assinatura HTML atualização do site não aparece atualização Windows 10/11 autenticação em dois fatores Authorization auto AutoDJ automação de hospedagem automação de marketing AutoSSL backup automático bandwidth limit exceeded bitrate Black Friday blacklist blog branding brasilia cabeçalhos de e-mail CAC cache cache CDN cache DNS cache do navegador cache do servidor cache e performance calendário sazonal caminho relativo canais digitais captura de tela cast CDN cel celular centos centos 6 centova Centova Cast Central do Cliente certificado SSL CGI check email Chrome ciclo de pagamento ciphers cloud Cmd+Shift+Delete Cmd+Shift+R CMS WordPress CNAME cobrança automática cobrança proporcional comandos como compatibilidade conceder condições de filtro conectar conexão conexão lenta conexão MySQL conexão rápida configuração configuração Outlook configuração Roundcube configurar configurar e-mail contas de e-mail conteúdo conteúdo legado cookies CORS cota de caixa postal cpanel cPanel Exim CPU e RAM credenciais MySQL crédito em fatura criar banco de dados criar e-mail no cPanel CRO CSF Ctrl+F5 Ctrl+Shift+Del Cyber Monday debian 7 DefaultSecureProtocols desativar ModSecurity desativar por domínio DevTools diagnóstico de rede DirectoryIndex disco dj DKIM dns DNS personalizado dominio domínio .br domínio não abre domínio no outro provedor downgrade de plano e-mail e-mail e MX e-mail marketing e-mails Edge encaminhar e-mail encoder endereço do servidor endereço provisório entregabilidade enviar erro 403 erro 500 erro 509 erro banco de dados erro database connection erro de conexão erro de criptografia error_log espaço espaço em disco esqueci minha senha esqueci usuário e senha estabilidade da transmissão exim Exim IP rotativo exim.conf exim.pl.local falso positivo faturamento recorrente fazer file FileZilla filtro de e-mail filtros cPanel filtros Webmail Firefox firewall de aplicação forbidden FPS ftp FTPS funil de vendas fuso fuso horário gerenciador de arquivos gestão de clientes GIF para suporte GoDaddy Google Ads gravação de tela gravar tela em GIF guia anônima hard refresh HD horario Horde hospedagem de e-mail hospedagem de sites HostGator hostname hostname do servidor hotlink protection hotlinking HTTP HTTPS Icecast identidade de e-mail IIS imagem 404 imagem na assinatura imagens bloqueadas imagens e fontes imagens não aparecem IMAP index.html index.php infraestrutura instabilidade instalação manual instalar instalar WordPress interface Exim internal server error ip IP do streaming IP externo iPhone janela anônima KB3140245 kernel lamp latência LICEcap limite de ouvintes limite de tráfego limites de recursos limpar cache limpar cookies limpar dados de navegação limpo link de recuperação links na assinatura links permanentes linux localhost localtime Locaweb logar no cPanel login automático login de e-mail logo na assinatura logs Exim logs ModSecurity LTV mail.seudominio.com.br mailhelo mailips maiúsculas e minúsculas marketing para e-commerce marketplace max_execution_time memory_limit Meta Ads meus serviços Microsoft 365 mixed content modelo de assinatura modo passivo ModSecurity mod_security2 monitoramento mostrar cliques do mouse mountpoint móvel mover para pasta MTR Windows multi-node músicas MX MX e e-mail mysql MySQL remoto Namecheap nameservers Natal Nginx novo ns ns1 ns2 ntp obs opções de gerenciamento OpenVPN opticodec organizar caixa de entrada otimização de imagens Outlook ouvintes simultâneos página desatualizada painel painel de controle painel do registrador partições perda de pacotes Perl permalinks permissão permissões persona php PHP 8 pico de audiência plano de marketing playlist/AutoDJ plugins POP3 pophosting porta porta 21 porta 22 porta 3306 porta 465 porta 993 porta do streaming portas 2082 portas 2083 portas 2086 portas 2087 portas 2095 portas 2096 posicionamento preflight OPTIONS privilégios problemas de login propagação de DNS propagação DNS provisionamento automático PTR public_html Python radio rádio online rDNS recarregar forçado recuperar acesso recuperar senha redefinir senha reduzir tamanho do GIF registro de domínio registro de domínios Registro.br registros A regras de filtro relatórios financeiros remarketing remote_smtp repositório reputação de envio reset de senha reverso ROAS Roundcube Rule ID Safari segmentação de público segurança de conta segurança de e-mail segurança servidor segurança web segurança WordPress senha de e-mail senha de source senha forte senha linux SEO para e-commerce servidor servidor linux SFTP Shoutcast sincronização slots SMTP Softaculous software SPAM SPF SquirrelMail ssh sshd SSL SSL/TLS SSO stack STARTTLS streaming streaming de áudio streaming HTTPS studio subdomínio sudo suporte suporte TLS taxa de conversão temas tempo de propagação terminal teste de rota teste no navegador ticket tickets de suporte timezone TLS 1.2 traceroute tráfego tráfego excedido transferência mensal transmissão transmitir travamento trocar DNS do domínio trocar NS trocar plano de hospedagem TTL tutorial GIF ubuntu Unknown database upgrade de plano upload de site URL do player usar domínio próprio uso de banda usuario usuário MySQL usuário root Vary Origin ver detalhes versão do PHP vhosts virtual hosts VirtualHost vivo vox voxstream voxtream WAF WebHost Manager Complete Solution webmail webmin webuzo WhatsApp whitelist WHM WHM Exim Advanced Editor WHMCS Windows 7 WinHTTP WinMTR WordPress WordPress cache WordPress Toolkit WordPress uploads WordPress URL WordPress/WHM root wp-config.php WWW X-Spam-Flag X-Spam-Status xcast you don’t have permission to access yum zilla zona DNS zone

  Suporte

Meus Tickets de Suporte
News
Base de Conhecimento
Downloads
Status da Rede
Abrir Ticket