Jak nakonfigurujete CORS v FastAPI?

Question

Accepted Answer

**CORS** (Cross-Origin Resource Sharing) je bezpečnostní mechanismus prohlížeče, který kontroluje, zda webová stránka z jedné **domény původu** může volat vaše API v jiné doméně. FastAPI ji konfiguruje pomocí vestavěného **`CORSMiddleware`**. S CORS se setkáte pokaždé, když frontend z jiné domény/portu volá vaše API.

## Problém, který CORS řeší

```text
A React app at http://localhost:3000 calling an API at http://localhost:8000 is
CROSS-ORIGIN (different port). The BROWSER blocks the response unless the API
sends CORS headers permitting that origin.
(origin = scheme + host + port)
```

## Konfigurace CORSMiddleware

```python
from fastapi.middleware.cors import CORSMiddleware

app.add_middleware(
    CORSMiddleware,
    allow_origins=["https://app.example.com", "http://localhost:3000"],  # ALLOWLIST of origins
    allow_credentials=True,         # allow cookies/auth (requires specific origins, not "*")
    allow_methods=["*"],             # or ["GET", "POST", ...]
    allow_headers=["*"],
)
```

Middleware přidá potřebné CORS hlavičky odpovědí, které sdělují prohlížeči, které domény, metody a hlavičky jsou povoleny. Prohlížeč tyto pravidla vynucuje.

## Zabezpečení: omezení domén původu (nepoužívejte "*")

```python
# ❌ allowing all origins — convenient but insecure for credentialed/private APIs
allow_origins=["*"]
# ✅ restrict to your known frontend origins (an allowlist)
allow_origins=["https://app.example.com"]
# NOTE: allow_credentials=True is INCOMPATIBLE with allow_origins=["*"]
```

Pro produkční prostředí **omezte `allow_origins` na seznam povolených domén** místo `*`. Povolení pověřovacích údajů (cookies/autentizace) také vyžaduje konkrétní domény — zástupný znak není s pověřovacími údaji povolen.

## Klíčové mylné pojetí

```text
CORS is enforced by the BROWSER, not the server. It does NOT protect your API from
non-browser clients (curl, Postman, other servers) — those ignore CORS entirely.
CORS only governs what browser JavaScript from other origins may do.
```

## Proč je to důležité

CORS je jedním z nejčastějších úskalí ve vývoji webů — téměř každé propojení frontendu s API se s ní setká (zejména při vývoji na místním počítači s různými porty a v produkci s oddělovanou doménou frontendu), takže vědět, jak ji nakonfigurovat s FastAPI `CORSMiddleware`, je praktické a často potřebné znalosti.

Pochopení *proč* existuje (bezpečnost stejné domény v prohlížeči), jak se server přihlásí prostřednictvím hlaviček odpovědí a jak ji nakonfigurovat (povolené domény, metody, hlavičky, pověřovací údaje) je nezbytné pro připojení frontendů k FastAPI APIs bez zablokování požadavků.

Rovněž důležité je nakonfigurovat ji **bezpečně** — omezit `allow_origins` na konkrétní seznam místo permisivního `*` (a pochopit, že pověřovací údaje nejsou kompatibilní se zástupným znakem) — a pochopit kritické mylné pojetí, že **CORS je mechanismus prohlížeče, nikoli autorizace API** (nechrání před prohlížeči nejsou klienty).

Vědět, jak správně a bezpečně nastavit CORS, je důležité každodenní znalosti pro jakékoli FastAPI API spotřebovávané webovým frontendem.