HTTP-006Médiohttp
CORS wildcard com credenciais
Detecta `Access-Control-Allow-Origin: *` combinado com `Allow-Credentials: true`.
Por que importa
Tecnicamente inválido, mas muitos clientes toleram — transformando qualquer site num cliente autenticado.
Como corrigir
Troque o wildcard por uma lista explícita de origins confiáveis.
Verificar a correção
HTTP-006 · verifynão-destrutivo
curl -sI -H 'Origin: https://example.com' https://seu-app.com | grep -i allow-origin