SB-008Médiohttp

CORS em /rest/v1 não é wildcard com credenciais

Confirma que a API não devolve `Access-Control-Allow-Origin: *` combinado com `Allow-Credentials: true`.

Por que importa

Essa combinação é inválida pelo spec CORS, mas muitos proxies e SDKs a toleram — transformando qualquer site do mundo num cliente autenticado da sua API.

Como corrigir

Restrinja os origins permitidos a uma lista explícita de domínios da sua aplicação.

Verificar a correção

SB-008 · verifynão-destrutivo

curl -sI "$SUPABASE_URL/rest/v1/" -H "Origin: https://example.com" -H "apikey: $ANON_KEY"

Referências

Supabase — Row Level Security
PostgREST — Authentication