Τι είναι το CORS και πώς το χειρίζεστε στο Node;

Question

Accepted Answer

**CORS** (Cross-Origin Resource Sharing) είναι ένας μηχανισμός ασφάλειας του προγράμματος περιήγησης που ελέγχει εάν μια ιστοσελίδα από ένα **origin** μπορεί να κάνει αιτήματα σε ένα διακομιστή σε ένα **διαφορετικό origin**. Από προεπιλογή, τα προγράμματα περιήγησης μπλοκάρουν τα αιτήματα μεταξύ κριτηρίων. ο διακομιστής πρέπει να τα επιτρέψει ρητά μέσω κεφαλίδων απόκρισης.

## Η πολιτική ίδιας προέλευσης και το πρόβλημα

```text
Origin = scheme + host + port. These are DIFFERENT origins:
  https://app.example.com   →  https://api.example.com   (different host)
  http://localhost:3000     →  http://localhost:4000      (different port)

Browser blocks the cross-origin request UNLESS the server sends CORS headers allowing it.
```

Άρα μια εφαρμογή React στο `localhost:3000` που καλεί ένα API στο `localhost:4000` είναι cross-origin — το πρόγραμμα περιήγησης το μπλοκάρει εκτός αν το API το επιτρέψει.

## Οι κύριες κεφαλίδες απόκρισης

```text
Access-Control-Allow-Origin: https://app.example.com   ← who is allowed
Access-Control-Allow-Methods: GET, POST, PUT, DELETE   ← allowed methods
Access-Control-Allow-Headers: Content-Type, Authorization
Access-Control-Allow-Credentials: true                 ← allow cookies/auth
```

Ο διακομιστής ελέγχει την πρόσβαση στέλνοντας αυτές τις κεφαλίδες. Το πρόγραμμα περιήγησης τις διαβάζει και αποφασίζει εάν θα επιτρέψει στη σελίδα να δει την απόκριση.

## Χειρισμός CORS στο Express

```js
import cors from "cors";

// ❌ allow everything — convenient but insecure for credentialed/private APIs
app.use(cors());

// ✅ restrict to specific trusted origins
app.use(cors({
  origin: ["https://app.example.com", "http://localhost:3000"], // allowlist
  methods: ["GET", "POST", "PUT", "DELETE"],
  credentials: true, // allow cookies — REQUIRES a specific origin (not "*")
}));
```

Το middleware `cors` ορίζει τις κεφαλίδες για εσάς. Για παραγωγή, **περιορίστε το `origin` σε μια λίστα επιτρεπόμενων** αντί να `*` — και σημειώστε ότι η επιτρέπηση διαπιστευτηρίων (`credentials: true`) είναι ασύμβατη με το wildcard `*`.

## Αιτήματα Preflight

```text
For "non-simple" requests (PUT/DELETE, custom headers, JSON), the browser first
sends an OPTIONS "preflight" request to check permissions. The cors middleware
handles responding to it automatically.
```

## Κοινή παρανόηση

```text
CORS is enforced by the BROWSER, not the server. It does NOT protect your API
from non-browser clients (curl, Postman, other servers) — those ignore CORS.
It only governs what browser JavaScript on other origins can do.
```

## Γιατί είναι σημαντικό

Το CORS είναι ένα από τα πιο κοινά εμπόδια στην ανάπτυξη ιστού — σχεδόν κάθε ρύθμιση front-end-to-API συναντά (ιδιαίτερα στην τοπική ανάπτυξη με διαφορετικές θύρες).

Η κατανόηση *γιατί* υπάρχει (ασφάλεια same-origin του προγράμματος περιήγησης), πώς ο διακομιστής αποδέχεται τις κεφαλίδες, πώς να το διαμορφώσετε με ασφάλεια (λίστες επιτρεπόμενων origin, προσεκτική διαχείριση διαπιστευτηρίων) και το καίριο γεγονός ότι είναι ένας μηχανισμός *προγράμματος περιήγησης* (όχι εξουσιοδότηση API) είναι απαραίτητο για σωστή και ασφαλή σύνδεση front-ends με Node API χωρίς να μπλοκάρεστε ή να υπερεκθέσετε τον διακομιστή.