आप FastAPI में CORS कैसे configure करते हैं?

Question

Accepted Answer

**CORS** (Cross-Origin Resource Sharing) एक browser security mechanism है जो नियंत्रित करता है कि क्या एक **origin** से एक web page आपके API को एक अलग origin पर कॉल कर सकता है। FastAPI इसे built-in **`CORSMiddleware`** के साथ configure करता है। जब भी एक अलग domain/port पर एक frontend आपके API को कॉल करता है तो आप CORS से सामना करेंगे।

## वह समस्या जिसे CORS संबोधित करता है

```text
A React app at http://localhost:3000 calling an API at http://localhost:8000 is
CROSS-ORIGIN (different port). The BROWSER blocks the response unless the API
sends CORS headers permitting that origin.
(origin = scheme + host + port)
```

## CORSMiddleware को configure करना

```python
from fastapi.middleware.cors import CORSMiddleware

app.add_middleware(
    CORSMiddleware,
    allow_origins=["https://app.example.com", "http://localhost:3000"],  # ALLOWLIST of origins
    allow_credentials=True,         # allow cookies/auth (requires specific origins, not "*")
    allow_methods=["*"],             # or ["GET", "POST", ...]
    allow_headers=["*"],
)
```

middleware आवश्यक CORS response headers जोड़ता है, browser को बताता है कि कौन से origins, methods, और headers की अनुमति है। Browser इन नियमों को लागू करता है।

## Security: origins को restrict करें ("*" का उपयोग न करें)

```python
# ❌ allowing all origins — convenient but insecure for credentialed/private APIs
allow_origins=["*"]
# ✅ restrict to your known frontend origins (an allowlist)
allow_origins=["https://app.example.com"]
# NOTE: allow_credentials=True is INCOMPATIBLE with allow_origins=["*"]
```

production के लिए, `*` के बजाय **`allow_origins` को एक allowlist तक restrict करें**। साथ ही, credentials (cookies/auth) की अनुमति देने के लिए specific origins की आवश्यकता होती है — wildcard को credentials के साथ अनुमति नहीं है।

## एक प्रमुख गलतफहमी

```text
CORS is enforced by the BROWSER, not the server. It does NOT protect your API from
non-browser clients (curl, Postman, other servers) — those ignore CORS entirely.
CORS only governs what browser JavaScript from other origins may do.
```

## यह क्यों महत्वपूर्ण है

CORS web development में सबसे सामान्य बाधाओं में से एक है — लगभग हर frontend-to-API setup इससे सामना करता है (विशेष रूप से अलग ports के साथ local development में, और एक अलग frontend domain के साथ production में), इसलिए FastAPI के `CORSMiddleware` के साथ इसे configure करना जानना व्यावहारिक, बार-बार आवश्यक ज्ञान है।

यह समझना कि यह *क्यों* मौजूद है (browser same-origin security), server response headers के माध्यम से कैसे opt in करता है, और इसे कैसे configure करें (allowed origins, methods, headers, credentials) frontends को FastAPI APIs से बिना requests blocked हुए जोड़ने के लिए आवश्यक है।

इतना ही महत्वपूर्ण इसे **सुरक्षित रूप से** configure करना है — `allow_origins` को permissive `*` के बजाय एक specific allowlist तक restrict करना (और यह समझना कि credentials wildcard के साथ incompatible हैं) — और इस महत्वपूर्ण गलतफहमी को समझना कि **CORS एक browser mechanism है, API authorization नहीं** (यह non-browser clients से रक्षा नहीं करता)।

CORS को सही और सुरक्षित रूप से set up करना जानना किसी भी web frontend द्वारा consumed FastAPI API के लिए महत्वपूर्ण रोजमर्रा का ज्ञान है।