Asegurando una app estática en Vercel: CSP, CORS y Service Workers que no muerden

Guía práctica para asegurar apps estáticas en Vercel con CSP, CORS y Service Workers: limita orígenes, cachea la shell y protege /api sin afectar UX.

20 sept 2025 • 3 min de lectura • Equipo Q2BSTUDIO

Inteligencia-Artificial-

Acabamos de lanzar una versión mínima viable de una app estática y queremos compartir una guía práctica para asegurar aplicaciones desplegadas en Vercel usando CSP, CORS y Service Workers sin romper la experiencia de usuario. Esta guía es útil tanto para proyectos OSS como para proyectos corporativos de software a medida y aplicaciones a medida desarrolladas por equipos como Q2BSTUDIO, especialistas en inteligencia artificial, ciberseguridad y servicios cloud aws y azure.

Resumen práctico: restringe orígenes de terceros, cachea la interfaz y nunca dejes que el Service Worker intercepte rutas de API. Estas medidas reducen la exposición a XSS, fugas de datos y comportamiento inesperado en producción.

Content Security Policy: coloca la cabecera Content-Security-Policy a nivel de despliegue para bloquear cargas de scripts inesperadas y permitir solo los orígenes que realmente necesitas. Ejemplo conceptual: Content-Security-Policy: default-src self; script-src self https://cdn.tailwindcss.com https://cdn.jsdelivr.net https://apis.google.com https://accounts.google.com; img-src self data: blob: https:; style-src self unsafe-inline; connect-src self https://www.googleapis.com https://firestore.googleapis.com https://firebasestorage.googleapis.com; frame-src self https://accounts.google.com; frame-ancestors none; base-uri self; form-action self; object-src none; upgrade-insecure-requests. Ajusta los orígenes a tus dependencias y revisa las políticas cuando añadas nuevos servicios o CDNs.

CORS para funciones serverless y Edge APIs: expón solo lo necesario y solo a tu dominio. Responde preflight con Access-Control-Allow-Origin apuntando a tu dominio de producción, establece Access-Control-Allow-Methods y Access-Control-Allow-Headers limitados, y responde con 204 a OPTIONS. Valida parámetros de entrada en cada endpoint y añade cacheo controlado con Cache-Control cuando los datos lo permitan.

Service Worker que no muerde: limita el scope para cachear solo la shell de la app y las navegaciones dentro del subdirectorio de la PWA, nunca interceptes rutas /api. Estrategia recomendada: cache-first para assets estáticos (css, js, imágenes) y network-first para navegaciones con fallback al index HTML. Gestiona versiones del cache con un nombre de versión y elimina caches antiguos en el evento activate para evitar servir recursos obsoletos.

Registro seguro del Service Worker: registra solo en producción y evita hacerlo en localhost. Esto evita sorpresas durante el desarrollo y mantiene un control fino en despliegues reales.

Cabeceras extra para hardening: X-Content-Type-Options: nosniff; Referrer-Policy: strict-origin-when-cross-origin; Permissions-Policy: geolocation=(), microphone=(), camera=(); además aplica Cache-Control con max-age largo e immutable para assets versiónados y añade límites de tasa para endpoints calientes usando middleware en Edge o utilidades específicas.

Por qué esto importa para tu negocio: aplicar estas medidas reduce riesgo operacional y mejora la confianza de usuarios y clientes, algo crítico cuando ofreces soluciones de software a medida o servicios gestionados de ciberseguridad. En Q2BSTUDIO combinamos estas prácticas con arquitecturas escalables y servicios gestionados en la nube para proyectos que requieren alta seguridad y rendimiento. Si estás desarrollando una aplicación corporativa o un producto SaaS podemos ayudarte a implementar todo el ciclo, desde el desarrollo hasta la seguridad operativa, incluyendo integraciones con servicios cloud.

Servicios relacionados: si buscas desarrollar una solución personalizada te recomendamos conocer nuestros servicios de desarrollo de aplicaciones y software a medida en desarrollo de aplicaciones multiplataforma y si tu foco es la protección y pruebas de seguridad visita nuestra página de ciber seguridad y pentesting. También trabajamos integración de inteligencia artificial, servicios inteligencia de negocio y power bi para mejorar la analítica y automatización de tu organización.

Palabras clave y capacidades: aplicaciones a medida, software a medida, inteligencia artificial, ciberseguridad, servicios cloud aws y azure, servicios inteligencia de negocio, ia para empresas, agentes IA y power bi son parte de nuestro catálogo de soluciones para llevar proyectos desde la idea hasta la operación segura y escalable.

¿Quieres que adaptemos esta guía a tu repositorio o que preparemos un paquete de configuración listo para pegar en Vercel y Firebase? En Q2BSTUDIO ofrecemos consultoría y acompañamiento para desplegar políticas CSP, reglas CORS, Service Workers y pipelines seguros que se integran con tus procesos de CI CD.

Nota final: esta guía es para orientar buenas prácticas y no sustituye auditorías específicas. Siempre prueba cambios de seguridad en un entorno controlado antes de aplicarlos a producción.

¿UNA PAUSA?

Juega un momento antes de irte

NUESTROS SERVICIOS

Cómo podemos ayudarte

Inteligencia artificial

Agentes de IA, chatbots y asistentes inteligentes que automatizan tareas y atienden a tus clientes 24/7 para mejorar la eficiencia de tu negocio.

Más info

Desarrollo de software

Aplicaciones web, móviles y de escritorio, intranets, e-commerce, SaaS y plataformas de gestión diseñadas para las necesidades concretas de tu empresa.

Más info

Servicios cloud

Migración, infraestructura, hosting gestionado, alta disponibilidad y seguridad en Microsoft Azure y Amazon Web Services para que tu negocio escale sin límites.

Más info

Ciberseguridad y pentesting

Auditorías de seguridad, test de intrusión (pentesting) y protección de aplicaciones, datos e infraestructura on-premise y cloud, con hacking ético y cumplimiento normativo.

Más info

Business Intelligence

Cuadros de mando y análisis de datos con Power BI: integramos tus fuentes, diseñamos dashboards y KPIs y convertimos tus datos en decisiones.

Más info

Automatización de procesos

Automatizamos tareas repetitivas y conectamos tus aplicaciones con n8n, Power Automate, Make y RPA, eliminando trabajo manual y aumentando la productividad.

Más info

Formación para empresas

Formamos a tus equipos en tecnología con criterio: desarrollo web, bases de datos, Git, buenas prácticas y seguridad, automatización con n8n, inteligencia artificial para empresas y creación de soluciones de IA con Azure AI Foundry.

Más info

Auditoría de código

Auditamos el código que creas tú, tu equipo o una IA: te decimos qué está bien y qué mejorar, lo securizamos y lo dejamos listo para producción, web o app.

Más info

Generación de imágenes con IA

Creamos por ti las imágenes que necesita tu negocio con inteligencia artificial: producto, redes, publicidad, ilustración y avatares. Tú nos dices qué quieres y te lo entregamos listo para usar.

Más info

Generación de vídeos con IA

Creamos por ti vídeos con inteligencia artificial: promocionales, para redes, presentadores virtuales, doblaje y animaciones. Nos cuentas la idea y te lo entregamos montado y listo para publicar.

Más info

Avatares conversacionales con IA

Creamos avatares conversacionales con IA —humanos digitales con cara y voz— que atienden a tus clientes y equipos con el conocimiento de tu empresa, en tu web, monitores interactivos, WhatsApp o Teams.

Más info

Marketing Online e IA

Google Ads, Meta Ads, LinkedIn Ads y posicionamiento en motores de IA (GEO/AEO): captamos clientes y hacemos que tu marca aparezca donde te buscan, también en ChatGPT, Gemini y Perplexity.

Más info

¿Tienes un proyecto en mente?

Cuéntanos tu visión y la convertimos en una solución de software. Sea cual sea el alcance, hacemos realidad tu idea.