Što je CORS i kako ga rukovati u Node-u?

Question

Accepted Answer

**CORS** (Cross-Origin Resource Sharing) je mehanizam sigurnosti preglednika koji kontrolira može li web stranica s jedne **origin** napraviti zahtjeve na server na **drugoj origin**. Prema zadanom, preglednici blokiraju zahtjeve između različitih origin-a; server mora eksplicitno dopustiti ih putem zaglavlja odgovora.

## Pravilo iste origin i problem

```text
Origin = scheme + host + port. These are DIFFERENT origins:
  https://app.example.com   →  https://api.example.com   (different host)
  http://localhost:3000     →  http://localhost:4000      (different port)

Browser blocks the cross-origin request UNLESS the server sends CORS headers allowing it.
```

Dakle, React aplikacija na `localhost:3000` koja poziva API na `localhost:4000` je između različitih origin-a — preglednik je blokira osim ako API ne dozvoli.

## Ključna zaglavlja odgovora

```text
Access-Control-Allow-Origin: https://app.example.com   ← who is allowed
Access-Control-Allow-Methods: GET, POST, PUT, DELETE   ← allowed methods
Access-Control-Allow-Headers: Content-Type, Authorization
Access-Control-Allow-Credentials: true                 ← allow cookies/auth
```

Server kontrolira pristup slanjem tih zaglavlja. Preglednik ih čita i odlučuje dozvoli li stranici vidjeti odgovor.

## Rukovanje CORS-om u Express-u

```js
import cors from "cors";

// ❌ allow everything — convenient but insecure for credentialed/private APIs
app.use(cors());

// ✅ restrict to specific trusted origins
app.use(cors({
  origin: ["https://app.example.com", "http://localhost:3000"], // allowlist
  methods: ["GET", "POST", "PUT", "DELETE"],
  credentials: true, // allow cookies — REQUIRES a specific origin (not "*")
}));
```

Middleware `cors` postavlja zaglavlja umjesto vas. Za produkciju, **ograniči `origin` na popis dozvoljenih** umjesto `*` — i napomene da je omogućavanje vjerodajnica (`credentials: true`) nekompatibilno sa `*` znakom.

## Preflight zahtjevi

```text
For "non-simple" requests (PUT/DELETE, custom headers, JSON), the browser first
sends an OPTIONS "preflight" request to check permissions. The cors middleware
handles responding to it automatically.
```

## Česti pogrešan zaključak

```text
CORS is enforced by the BROWSER, not the server. It does NOT protect your API
from non-browser clients (curl, Postman, other servers) — those ignore CORS.
It only governs what browser JavaScript on other origins can do.
```

## Zašto je ovo važno

CORS je jedan od najčešćih kamena spoticanja u web razvoju — gotovo svaka front-end-u-API postavka ga naiđe (posebno u lokalnom dev-u s različitim portovima).

Razumijevanje *zašto* postoji (sigurnost iste origin preglednika), kako server dozvoljava putem zaglavlja, kako ga sigurno konfigurirati (popis dozvoljenih origin-a, oprezno rukovanje vjerodajnicama), i ključna činjenica da je to mehanizam *preglednika* (ne autentifikacija API-ja) nužna je za ispravno i sigurno spajanje front-end-a na Node API-je bez blokade ili prečestog izlaganja servera.