403 Forbidden es el servidor diciendo: "entendí exactamente lo que pediste, y me niego". Es un error 4xx del cliente, pero es sobre permiso, no un error de tipeo — el recurso existe, simplemente no podés entrar.
403 vs 401: la distinción clave
- 401 Unauthorized → "¿Quién sos? Autenticate y reintentá." Loguearse puede arreglarlo. Ver 401 Unauthorized.
- 403 Forbidden → "Sé quién sos (o no importa), y igual no podés." Loguearse casi nunca ayuda.
Causas comunes
| Causa | Qué pasa |
|---|---|
| Permisos de archivo | Modo/dueño equivocado en archivo o directorio |
| Reglas de acceso | .htaccess o config del servidor negando acceso |
| Sin index | Listado deshabilitado y sin index.html |
| Bloqueo de IP | Tu IP/región está en una lista de denegación |
| WAF / Cloudflare | Una regla de seguridad marcó la petición |
Cómo arreglarlo — como visitante
- Revisá la URL; limpiá cookies y caché; apagá VPN/proxy que pueda estar bloqueado; logueate si la página requiere auth.
Cómo arreglarlo — como desarrollador
- Permisos: directorios
755, archivos644; dueño correcto. - Reglas de acceso: revisá
.htaccess/ bloqueslocationde Nginx. - Index: agregá uno o habilitá listado.
- IP y WAF: revisá allowlists y logs por falsos positivos.
- Autorización: confirmá que tus checks de rol/scope no rechazan usuarios válidos.
Cuándo importa un spike de 403
Un 403 es un glitch de permisos. Una oleada de 403 puede significar dos cosas distintas: un deploy que rompió tus reglas de acceso y bloquea usuarios reales, o un atacante sondeando recursos. Nurbak Watch trackea códigos por endpoint y te avisa al instante; el scanner chequea la autorización rota que los causa. Ver el checklist de seguridad de APIs.