Πώς ρυθμίζετε το CORS στο FastAPI;

Question

Accepted Answer

**CORS** (Cross-Origin Resource Sharing) είναι ένας μηχανισμός ασφάλειας του προγράμματος περιήγησης που ελέγχει εάν μια ιστοσελίδα από μια **αρχή** μπορεί να καλέσει το API σας σε μια διαφορετική αρχή. Το FastAPI το ρυθμίζει με το ενσωματωμένο **`CORSMiddleware`**. Θα συναντήσετε CORS κάθε φορά που ένα frontend σε ένα διαφορετικό domain/port καλεί το API σας.

## Το πρόβλημα που αντιμετωπίζει το CORS

```text
A React app at http://localhost:3000 calling an API at http://localhost:8000 is
CROSS-ORIGIN (different port). The BROWSER blocks the response unless the API
sends CORS headers permitting that origin.
(origin = scheme + host + port)
```

## Ρύθμιση του CORSMiddleware

```python
from fastapi.middleware.cors import CORSMiddleware

app.add_middleware(
    CORSMiddleware,
    allow_origins=["https://app.example.com", "http://localhost:3000"],  # ALLOWLIST of origins
    allow_credentials=True,         # allow cookies/auth (requires specific origins, not "*")
    allow_methods=["*"],             # or ["GET", "POST", ...]
    allow_headers=["*"],
)
```

Το middleware προσθέτει τις απαραίτητες κεφαλίδες απόκρισης CORS, λέγοντας στο πρόγραμμα περιήγησης ποιες αρχές, μέθοδοι και κεφαλίδες επιτρέπονται. Το πρόγραμμα περιήγησης επιβάλλει αυτούς τους κανόνες.

## Ασφάλεια: περιορίστε τις αρχές (μη χρησιμοποιείτε "*")

```python
# ❌ allowing all origins — convenient but insecure for credentialed/private APIs
allow_origins=["*"]
# ✅ restrict to your known frontend origins (an allowlist)
allow_origins=["https://app.example.com"]
# NOTE: allow_credentials=True is INCOMPATIBLE with allow_origins=["*"]
```

Για την παραγωγή, **περιορίστε το `allow_origins` σε μια λίστα επιτρεπόμενων** αντί του `*`. Επίσης, η επιτρέπη των διαπιστευτηρίων (cookies/auth) απαιτεί συγκεκριμένες αρχές — το σύμβολο μπαλαντέρ δεν επιτρέπεται με διαπιστευτήρια.

## Μια κύρια παρανόηση

```text
CORS is enforced by the BROWSER, not the server. It does NOT protect your API from
non-browser clients (curl, Postman, other servers) — those ignore CORS entirely.
CORS only governs what browser JavaScript from other origins may do.
```

## Γιατί είναι σημαντικό

Το CORS είναι ένα από τα πιο συνηθισμένα εμπόδια στην ανάπτυξη ιστού — σχεδόν κάθε εγκατάσταση frontend-to-API το αντιμετωπίζει (ειδικά στη τοπική ανάπτυξη με διαφορετικά ports και στην παραγωγή με ένα ξεχωριστό frontend domain), επομένως το να ξέρετε πώς να το ρυθμίσετε με το `CORSMiddleware` του FastAPI είναι πρακτική και συχνά απαιτούμενη γνώση.

Η κατανόηση του *γιατί* υπάρχει (ασφάλεια ίδιας αρχής του προγράμματος περιήγησης), του πώς ο διακομιστής συνεισφέρει μέσω κεφαλίδων απόκρισης και του πώς να το ρυθμίσετε (επιτρεπόμενες αρχές, μέθοδοι, κεφαλίδες, διαπιστευτήρια) είναι απαραίτητη για τη σύνδεση frontends με FastAPI APIs χωρίς να αποκλείονται αιτήματα.

Εξίσου σημαντική είναι η ρύθμιση του **με ασφάλεια** — περιορισμός του `allow_origins` σε μια συγκεκριμένη λίστα αντί του μη περιοριστικού `*` (και κατανόηση ότι τα διαπιστευτήρια δεν είναι συμβατά με το σύμβολο μπαλαντέρ) — και η κατανόηση της κρίσιμης παρανόησης ότι **το CORS είναι ένας μηχανισμός προγράμματος περιήγησης, όχι εξουσιοδότηση API** (δεν προστατεύει από πελάτες χωρίς πρόγραμμα περιήγησης).

Το να ξέρετε πώς να ρυθμίσετε σωστά και με ασφάλεια το CORS είναι σημαντική καθημερινή γνώση για οποιοδήποτε FastAPI API που καταναλώνεται από ένα web frontend.