როგორ აკონფიგურირებთ CORS-ს FastAPI-ში?

Question

Accepted Answer

**CORS** (Cross-Origin Resource Sharing) არის ბრაუზერის უსაფრთხოების მექანიზმი, რომელიც კონტროლирებს იმას, რომ ერთი **origin**-დან ჩამოსული ვებ-გვერდი შეძლებს თუ არა თქვენი API-ს გამოძახებას სხვა origin-დან. FastAPI აკონფიგურირებს ამას ჩამონტაჟებული **`CORSMiddleware`**-ის საშუალებით. თქვენ შეხვდებით CORS-ს ყოველთვის, როდესაც განსხვავებული დომენი/პორტის frontend დაძახებს თქვენს API-ს.

## პრობლემა, რომელსაც CORS აგვარებს

```text
A React app at http://localhost:3000 calling an API at http://localhost:8000 is
CROSS-ORIGIN (different port). The BROWSER blocks the response unless the API
sends CORS headers permitting that origin.
(origin = scheme + host + port)
```

## CORSMiddleware-ის კონფიგურაცია

```python
from fastapi.middleware.cors import CORSMiddleware

app.add_middleware(
    CORSMiddleware,
    allow_origins=["https://app.example.com", "http://localhost:3000"],  # ALLOWLIST of origins
    allow_credentials=True,         # allow cookies/auth (requires specific origins, not "*")
    allow_methods=["*"],             # or ["GET", "POST", ...]
    allow_headers=["*"],
)
```

Middleware ამატებს საჭირო CORS პასუხის headers-ებს, რომლებიც ბრაუზერს აუწყებენ, რომელი origins, methods და headers დაშვებულია. ბრაუზერი ამ წესებს აკმაყოფილებს.

## უსაფრთხოება: შეზღუდეთ origins (ნუ გამოიყენებთ "*")

```python
# ❌ allowing all origins — convenient but insecure for credentialed/private APIs
allow_origins=["*"]
# ✅ restrict to your known frontend origins (an allowlist)
allow_origins=["https://app.example.com"]
# NOTE: allow_credentials=True is INCOMPATIBLE with allow_origins=["*"]
```

პროდაქციოში, **შეზღუდეთ `allow_origins` allow list-ით** ვიდრე `*`. ასევე, რეფერენტები (cookies/auth) დაშვება საჭიროებს კონკრეტულ origins-ებს — wildcard არ დაშვებულია ან მონაცემებთან ერთად.

## მნიშვნელოვანი არასწორი ცნება

```text
CORS is enforced by the BROWSER, not the server. It does NOT protect your API from
non-browser clients (curl, Postman, other servers) — those ignore CORS entirely.
CORS only governs what browser JavaScript from other origins may do.
```

## რატომ არის ეს მნიშვნელოვანი

CORS არის ვებ-დეველოპმენტის ერთ-ერთი ყველაზე გავრცელებული გამძულველი — თითქმის ყველა frontend-to-API სეტაპი ხვდება მას (განსაკუთრებით ლოკალური დეველოპმენტი სხვადსხვა პორტებით, და პროდაქციოში ცალკეული frontend დომენით), ამიტომ იმის ცოდნა, თუ როგორ კონფიგურირება იგი FastAPI-ის `CORSMiddleware`-ით, პრაქტიკული, ხშირად საჭირო ცოდნაა.

იმის გაგება, *რატომ* არსებობს ეს (ბრაუზერის same-origin უსაფრთხოება), თუ როგორ ემართება სერვერი პასუხის headers-ის მეშვეობით, და თუ როგორ კონფიგურირება ეს (დაშვებული origins, methods, headers, რეფერენტები) აუცილებელია frontend-ების FastAPI API-სთან დაკავშირებისთვის ბროკირებული요청ების გარეშე.

თანაბრად მნიშვნელოვანი იყო კონფიგურირება **დაკავშირებული უსაფრთხოებით** — `allow_origins` შეზღუდოთ კონკრეტულ allow list-ით ვიდრე დაშვებული `*` (და გაიგოთ, რომ რეფერენტები არ არის კომპატიბილური wildcard-ის ერთად) — და გასაბუთი არასწორი ცნება, რომ **CORS არის ბრაუზერის მექანიზმი, არ API ავტორიზაცია** (ეს არ იცავს non-browser კლიენტებისგან).

CORS-ის სწორად და უსაფრთხოდ ჩაყენება მნიშვნელოვანი ყოველდღიური ცოდნაა ნებისმიერი FastAPI API-ს ღებულობაზე web frontend-ით.