Mitä CORS on ja kuinka sitä käsitellään Node-sovelluksessa?

Question

Accepted Answer

**CORS** (Cross-Origin Resource Sharing) on selaimeen sisäänrakennettu turvallisuusmekanismi, joka hallitsee sitä, voiko web-sivu yhdestä **originista** tehdä pyyntöjä eri **originista** olevalle palvelimelle. Oletuksena selaimet estävät poikkisivustopyyntöjä; palvelimen on eksplisiittisesti sallittava ne vastaussivupalkkien kautta.

## Same-origin-periaate ja ongelma

```text
Origin = scheme + host + port. These are DIFFERENT origins:
  https://app.example.com   →  https://api.example.com   (different host)
  http://localhost:3000     →  http://localhost:4000      (different port)

Browser blocks the cross-origin request UNLESS the server sends CORS headers allowing it.
```

Niinpä React-sovellus osoitteessa `localhost:3000`, joka kutsuu API:ta osoitteessa `localhost:4000`, on poikkisivustuinen — selain estää sen, ellei API salli sitä.

## Tärkeimmät vastauspalkit

```text
Access-Control-Allow-Origin: https://app.example.com   ← who is allowed
Access-Control-Allow-Methods: GET, POST, PUT, DELETE   ← allowed methods
Access-Control-Allow-Headers: Content-Type, Authorization
Access-Control-Allow-Credentials: true                 ← allow cookies/auth
```

Palvelin hallitsee käyttöoikeuksia lähettämällä nämä palkit. Selain lukee ne ja päättää, saako sivu nähdä vastauksen.

## CORS-hallinta Express-sovelluksessa

```js
import cors from "cors";

// ❌ allow everything — convenient but insecure for credentialed/private APIs
app.use(cors());

// ✅ restrict to specific trusted origins
app.use(cors({
  origin: ["https://app.example.com", "http://localhost:3000"], // allowlist
  methods: ["GET", "POST", "PUT", "DELETE"],
  credentials: true, // allow cookies — REQUIRES a specific origin (not "*")
}));
```

`cors`-middleware asettaa palkit sinulle. Tuotannossa **rajoita `origin` sallittujen palvelimien luetteloon** `*`:n sijaan — ja huomaa, että todentamistietojen salliminen (`credentials: true`) ei ole yhteensopiva wildcard-merkin `*` kanssa.

## Preflight-pyynnöt

```text
For "non-simple" requests (PUT/DELETE, custom headers, JSON), the browser first
sends an OPTIONS "preflight" request to check permissions. The cors middleware
handles responding to it automatically.
```

## Yleinen väärinkäsitys

```text
CORS is enforced by the BROWSER, not the server. It does NOT protect your API
from non-browser clients (curl, Postman, other servers) — those ignore CORS.
It only governs what browser JavaScript on other origins can do.
```

## Miksi se on tärkeää

CORS on yksi web-kehityksen yleisimmistä kompastuskivistä — lähes jokainen front-end-to-API-asetus kohtaa sen (erityisesti paikallisessa kehityksessä eri porttien kanssa).

Ymmärtää *miksi* se on olemassa (selaimen same-origin-turvallisuus), kuinka palvelin sallii sen palkkien kautta, kuinka se määritetään turvallisesti (sallittujen palvelimien luettelo, huolellinen todentamistietojen hallinta) ja kriittinen tosiasia, että se on *selaimen* mekanismi (ei API-valtuutus), on välttämätöntä front-end-sovelluksien ja Node API:n oikealle ja turvalliselle yhdistämiselle ilman estoä tai liiallista palvelimen paljastamista.