CORS কী এবং আপনি Node-এ এটি কীভাবে পরিচালনা করেন?

Question

Accepted Answer

**CORS** (Cross-Origin Resource Sharing) একটি ব্রাউজার নিরাপত্তা ব্যবস্থা যা নিয়ন্ত্রণ করে যে একটি **origin** থেকে একটি ওয়েব পৃষ্ঠা একটি **ভিন্ন origin-এ** একটি সার্ভারে অনুরোধ করতে পারে কিনা। ডিফল্টরূপে, ব্রাউজার cross-origin অনুরোধগুলি ব্লক করে; সার্ভারকে অবশ্যই প্রতিক্রিয়া হেডারগুলির মাধ্যমে সেগুলি স্পষ্টভাবে অনুমতি দিতে হবে।

## একই-origin নীতি এবং সমস্যা

```text
Origin = scheme + host + port. These are DIFFERENT origins:
  https://app.example.com   →  https://api.example.com   (different host)
  http://localhost:3000     →  http://localhost:4000      (different port)

Browser blocks the cross-origin request UNLESS the server sends CORS headers allowing it.
```

তাই একটি React অ্যাপ `localhost:3000`-এ একটি API `localhost:4000`-এ কল করা cross-origin — ব্রাউজার এটি ব্লক করে যদি না API এতে অংশীদারিত্ব করে।

## মূল প্রতিক্রিয়া হেডারগুলি

```text
Access-Control-Allow-Origin: https://app.example.com   ← who is allowed
Access-Control-Allow-Methods: GET, POST, PUT, DELETE   ← allowed methods
Access-Control-Allow-Headers: Content-Type, Authorization
Access-Control-Allow-Credentials: true                 ← allow cookies/auth
```

সার্ভার এই হেডারগুলি পাঠিয়ে অ্যাক্সেস নিয়ন্ত্রণ করে। ব্রাউজার সেগুলি পড়ে এবং সিদ্ধান্ত নেয় যে পৃষ্ঠাটি প্রতিক্রিয়া দেখতে পারে কিনা।

## Express-এ CORS পরিচালনা

```js
import cors from "cors";

// ❌ allow everything — convenient but insecure for credentialed/private APIs
app.use(cors());

// ✅ restrict to specific trusted origins
app.use(cors({
  origin: ["https://app.example.com", "http://localhost:3000"], // allowlist
  methods: ["GET", "POST", "PUT", "DELETE"],
  credentials: true, // allow cookies — REQUIRES a specific origin (not "*")
}));
```

`cors` মিডলওয়্যার আপনার জন্য হেডারগুলি সেট করে। উৎপাদনের জন্য, **`origin` একটি সাদা তালিকায় সীমাবদ্ধ করুন** বনাম `*` — এবং মনে রাখবেন যে সংস্থাগুলির অনুমতি (`credentials: true`) ওয়াইল্ডকার্ড `*`-এর সাথে অসামঞ্জস্যপূর্ণ।

## Preflight অনুরোধ

```text
For "non-simple" requests (PUT/DELETE, custom headers, JSON), the browser first
sends an OPTIONS "preflight" request to check permissions. The cors middleware
handles responding to it automatically.
```

## সাধারণ ভুল ধারণা

```text
CORS is enforced by the BROWSER, not the server. It does NOT protect your API
from non-browser clients (curl, Postman, other servers) — those ignore CORS.
It only governs what browser JavaScript on other origins can do.
```

## এটি কেন গুরুত্বপূর্ণ

CORS ওয়েব ডেভেলপমেন্টে সবচেয়ে সাধারণ বাধাগুলির একটি — প্রায় প্রতিটি front-end-to-API সেটআপ এটির মুখোমুখি হয় (বিশেষত স্থানীয় ডেভ-তে বিভিন্ন পোর্টে)।

এটি কেন বিদ্যমান তা বোঝা (ব্রাউজার same-origin নিরাপত্তা), কীভাবে সার্ভার হেডারগুলির মাধ্যমে এতে অংশীদারিত্ব করে, এটি কীভাবে নিরাপদে কনফিগার করতে হয় (সাদা তালিকা origins, সাবধানে সংস্থা পরিচালনা), এবং গুরুত্বপূর্ণ সত্য যে এটি একটি *ব্রাউজার* ব্যবস্থা (API অনুমোদন নয়) front-ends এবং Node APIs কে সঠিকভাবে এবং নিরাপদে সংযুক্ত করার জন্য অপরিহার্য যা ব্লক হওয়া বা সার্ভারকে অতিরিক্ত-উন্মুক্ত করা ছাড়াই।