CORS क्या है और आप इसे Node में कैसे संभालते हैं?

Question

Accepted Answer

**CORS** (Cross-Origin Resource Sharing) एक ब्राउज़र सुरक्षा तंत्र है जो नियंत्रित करता है कि एक **origin** पर एक वेब पृष्ठ **अलग origin** पर एक सर्वर के लिए अनुरोध कर सकता है या नहीं। डिफ़ॉल्ट रूप से, ब्राउज़र cross-origin अनुरोधों को अवरुद्ध करते हैं; सर्वर को प्रतिक्रिया शीर्षलेख के माध्यम से स्पष्ट रूप से उन्हें अनुमति देनी चाहिए।

## same-origin नीति और समस्या

```text
Origin = scheme + host + port. These are DIFFERENT origins:
  https://app.example.com   →  https://api.example.com   (different host)
  http://localhost:3000     →  http://localhost:4000      (different port)

Browser blocks the cross-origin request UNLESS the server sends CORS headers allowing it.
```

तो `localhost:3000` पर एक React ऐप जो `localhost:4000` पर API को कॉल कर रहा है वह cross-origin है — ब्राउज़र इसे अवरुद्ध करता है जब तक API सहमति न दे।

## मुख्य प्रतिक्रिया शीर्षलेख

```text
Access-Control-Allow-Origin: https://app.example.com   ← who is allowed
Access-Control-Allow-Methods: GET, POST, PUT, DELETE   ← allowed methods
Access-Control-Allow-Headers: Content-Type, Authorization
Access-Control-Allow-Credentials: true                 ← allow cookies/auth
```

सर्वर इन शीर्षलेखों को भेजकर पहुंच को नियंत्रित करता है। ब्राउज़र उन्हें पढ़ता है और तय करता है कि पृष्ठ को प्रतिक्रिया देखने की अनुमति है या नहीं।

## Express में CORS को संभालना

```js
import cors from "cors";

// ❌ allow everything — convenient but insecure for credentialed/private APIs
app.use(cors());

// ✅ restrict to specific trusted origins
app.use(cors({
  origin: ["https://app.example.com", "http://localhost:3000"], // allowlist
  methods: ["GET", "POST", "PUT", "DELETE"],
  credentials: true, // allow cookies — REQUIRES a specific origin (not "*")
}));
```

`cors` middleware आपके लिए शीर्षलेख सेट करता है। उत्पादन के लिए, **`origin` को `*` के बजाय allowlist में प्रतिबंधित करें** — और ध्यान दें कि साक्ष्यांकन (`credentials: true`) को wildcard `*` के साथ incompatible है।

## Preflight अनुरोध

```text
For "non-simple" requests (PUT/DELETE, custom headers, JSON), the browser first
sends an OPTIONS "preflight" request to check permissions. The cors middleware
handles responding to it automatically.
```

## सामान्य गलतफहमी

```text
CORS is enforced by the BROWSER, not the server. It does NOT protect your API
from non-browser clients (curl, Postman, other servers) — those ignore CORS.
It only governs what browser JavaScript on other origins can do.
```

## यह क्यों महत्वपूर्ण है

CORS वेब विकास में सबसे आम बाधाओं में से एक है — लगभग हर front-end-to-API सेटअप इसका सामना करता है (विशेषकर स्थानीय dev में अलग-अलग पोर्ट के साथ)।

यह समझना कि यह क्यों मौजूद है (ब्राउज़र same-origin सुरक्षा), सर्वर कैसे शीर्षलेखों के माध्यम से सहमति देता है, इसे सुरक्षित रूप से कैसे कॉन्फ़िगर करें (origins allowlist, सावधान credential हैंडलिंग), और महत्वपूर्ण तथ्य यह है कि यह एक *ब्राउज़र* तंत्र है (API प्राधिकरण नहीं) Node APIs को front-ends से सही और सुरक्षित रूप से जोड़ने के लिए आवश्यक है बिना अवरुद्ध किए या सर्वर को अधिक उजागर किए।