Come configuri CORS in FastAPI?

Question

Accepted Answer

**CORS** (Cross-Origin Resource Sharing) è un meccanismo di sicurezza del browser che controlla se una pagina web da un **origin** può chiamare la tua API su un origin diverso. FastAPI lo configura con il **`CORSMiddleware`** integrato. Incontrerai CORS ogni volta che un frontend su un dominio/porta diverso chiama la tua API.

## Il problema che CORS affronta

```text
A React app at http://localhost:3000 calling an API at http://localhost:8000 is
CROSS-ORIGIN (different port). The BROWSER blocks the response unless the API
sends CORS headers permitting that origin.
(origin = scheme + host + port)
```

## Configurazione di CORSMiddleware

```python
from fastapi.middleware.cors import CORSMiddleware

app.add_middleware(
    CORSMiddleware,
    allow_origins=["https://app.example.com", "http://localhost:3000"],  # ALLOWLIST of origins
    allow_credentials=True,         # allow cookies/auth (requires specific origins, not "*")
    allow_methods=["*"],             # or ["GET", "POST", ...]
    allow_headers=["*"],
)
```

Il middleware aggiunge gli header di risposta CORS necessari, indicando al browser quali origin, metodi e header sono consentiti. Il browser applica queste regole.

## Sicurezza: restringi gli origin (non usare "*")

```python
# ❌ allowing all origins — convenient but insecure for credentialed/private APIs
allow_origins=["*"]
# ✅ restrict to your known frontend origins (an allowlist)
allow_origins=["https://app.example.com"]
# NOTE: allow_credentials=True is INCOMPATIBLE with allow_origins=["*"]
```

In produzione, **restringi `allow_origins` a una lista consentita** piuttosto che `*`. Inoltre, consentire credenziali (cookie/auth) richiede origin specifici — il wildcard non è consentito con le credenziali.

## Un'idea sbagliata importante

```text
CORS is enforced by the BROWSER, not the server. It does NOT protect your API from
non-browser clients (curl, Postman, other servers) — those ignore CORS entirely.
CORS only governs what browser JavaScript from other origins may do.
```

## Perché è importante

CORS è uno dei problemi più comuni nello sviluppo web — quasi ogni configurazione frontend-to-API lo incontra (specialmente nello sviluppo locale con porte diverse, e in produzione con un dominio frontend separato), quindi saper configurarlo con il `CORSMiddleware` di FastAPI è conoscenza pratica e frequentemente necessaria.

Comprendere *perché* esiste (sicurezza same-origin del browser), come il server acconsente tramite header di risposta, e come configurarlo (origin consentiti, metodi, header, credenziali) è necessario per connettere frontend ad API FastAPI senza che le richieste vengano bloccate.

Egualmente importante è configurarlo **in sicurezza** — restringendo `allow_origins` a una lista consentita specifica piuttosto che il permissivo `*` (e comprendendo che le credenziali sono incompatibili con il wildcard) — e afferrando l'idea cruciale sbagliata che **CORS è un meccanismo del browser, non un'autorizzazione API** (non protegge dai client non-browser).

Saper configurare CORS correttamente e in sicurezza è conoscenza importante quotidiana per qualsiasi API FastAPI consumata da un frontend web.