Mi az a CORS és hogyan kezelik azt a Node-ban?

Question

Accepted Answer

A **CORS** (Cross-Origin Resource Sharing) egy böngésző biztonsági mechanizmus, amely szabályozza, hogy egy **origin**-ból érkező weboldal kéréseket intézhet-e egy **másik origin**-on lévő szerverhez. Alapértelmezés szerint a böngészők letiltják a cross-origin kéréseket; a szervernek kifejezetten engedélyeznie kell őket a válasz fejléceivel.

## Az ugyanazon origin szabályzat és a probléma

```text
Origin = scheme + host + port. These are DIFFERENT origins:
  https://app.example.com   →  https://api.example.com   (different host)
  http://localhost:3000     →  http://localhost:4000      (different port)

Browser blocks the cross-origin request UNLESS the server sends CORS headers allowing it.
```

Tehát egy `localhost:3000`-on futó React alkalmazás, amely `localhost:4000`-en egy API-t hív meg, cross-origin — a böngésző letiltja, hacsak az API ezt meg nem engedélyezi.

## A kulcsfontosságú válaszfejlécek

```text
Access-Control-Allow-Origin: https://app.example.com   ← who is allowed
Access-Control-Allow-Methods: GET, POST, PUT, DELETE   ← allowed methods
Access-Control-Allow-Headers: Content-Type, Authorization
Access-Control-Allow-Credentials: true                 ← allow cookies/auth
```

A szerver ezeknek a fejléceknek a küldésével szabályozza a hozzáférést. A böngésző olvassa őket, és eldönti, hogy az oldal láthatja-e a választ.

## CORS kezelése az Express-ben

```js
import cors from "cors";

// ❌ allow everything — convenient but insecure for credentialed/private APIs
app.use(cors());

// ✅ restrict to specific trusted origins
app.use(cors({
  origin: ["https://app.example.com", "http://localhost:3000"], // allowlist
  methods: ["GET", "POST", "PUT", "DELETE"],
  credentials: true, // allow cookies — REQUIRES a specific origin (not "*")
}));
```

A `cors` middleware beállítja a fejléceket Ön helyett. Termeléshez **korlátozza az `origin`-t egy engedélyezési listára** a `*` helyett — és vegye figyelembe, hogy a hitelesítési adatok engedélyezése (`credentials: true`) nem kompatibilis a `*` helyettesítővel.

## Preflight kérések

```text
For "non-simple" requests (PUT/DELETE, custom headers, JSON), the browser first
sends an OPTIONS "preflight" request to check permissions. The cors middleware
handles responding to it automatically.
```

## Gyakori félreértelmezés

```text
CORS is enforced by the BROWSER, not the server. It does NOT protect your API
from non-browser clients (curl, Postman, other servers) — those ignore CORS.
It only governs what browser JavaScript on other origins can do.
```

## Miért fontos ez

A CORS az egyik leggyakoribb akadály a webes fejlesztésben — szinte minden front-end-to-API beállítás rákezd (főleg helyi fejlesztésben különböző portokkal).

Annak megértése, *miért* létezik (böngésző ugyanazon origin biztonsága), hogyan engedélyezi a szerver a fejlécek segítségével, hogyan konfigurálható biztonságosan (origin engedélyezési lista, óvatos hitelesítési adatok kezelése), és a lényeges tény, hogy ez egy *böngésző* mechanizmus (nem API engedélyezés) szükséges ahhoz, hogy a front-endeket a Node API-khez megfelelően és biztonságosan csatlakoztassuk anélkül, hogy blokkolnánk vagy túlságosan kitennénk a szervert.