Kaip konfigūruoti CORS programoje FastAPI?

Question

Accepted Answer

** CORS** (Cross-Origin Resource Sharing) yra naršyklės saugos mechanizmas, kuris kontroliuoja, ar žiniatinklio puslapis iš vieno **origin** gali iškviesti jūsų API iš kito origin. FastAPI tai konfigūruoja naudodamasis įmontuotu **`CORSMiddleware`**. Jūs susidursite su CORS kiekvieną kartą, kai skirtingo domeno/prievado front-end iškviečia jūsų API.

## Problema, kurią CORS sprendžia

```text
A React app at http://localhost:3000 calling an API at http://localhost:8000 is
CROSS-ORIGIN (different port). The BROWSER blocks the response unless the API
sends CORS headers permitting that origin.
(origin = scheme + host + port)
```

## CORSMiddleware konfigūravimas

```python
from fastapi.middleware.cors import CORSMiddleware

app.add_middleware(
    CORSMiddleware,
    allow_origins=["https://app.example.com", "http://localhost:3000"],  # ALLOWLIST of origins
    allow_credentials=True,         # allow cookies/auth (requires specific origins, not "*")
    allow_methods=["*"],             # or ["GET", "POST", ...]
    allow_headers=["*"],
)
```

Middleware'is prideda reikalingus CORS atsakymo antrašteles, nurodytas naršyklei, kurie origin'ai, metodai ir antrašteles yra leidžiami. Naršyklė įgyvendina šias taisykles.

## Sauga: apribokite origin'us (nenaudokite "*")

```python
# ❌ allowing all origins — convenient but insecure for credentialed/private APIs
allow_origins=["*"]
# ✅ restrict to your known frontend origins (an allowlist)
allow_origins=["https://app.example.com"]
# NOTE: allow_credentials=True is INCOMPATIBLE with allow_origins=["*"]
```

Gameybai apribokite `allow_origins` leidžiamų šaltinių sąrašu, o ne `*`. Be to, leisti kredencialus (slapukus/autentifikaciją) reikalingi konkretūs origin'ai — jungtukas negalimas kartu su kredencialais.

## Svarbi klaidinga samprata

```text
CORS is enforced by the BROWSER, not the server. It does NOT protect your API from
non-browser clients (curl, Postman, other servers) — those ignore CORS entirely.
CORS only governs what browser JavaScript from other origins may do.
```

## Kodėl tai svarbu

CORS yra vienas iš dažniausiai pasitaikančių žiniatinklio kūrimo iššūkių — beveik kiekvieno front-end ir API sąrankoje jis pasitaiko (ypač vietiniame kūrime su skirtingais prievadais ir gamyboje su atskiru front-end domenu), todėl žinoti, kaip jį konfigūruoti naudojant FastAPI `CORSMiddleware`, yra praktinės, dažnai reikalingos žinios.

Supratimas, *kodėl* jis egzistuoja (naršyklės same-origin sauga), kaip serveris dalyvauja per atsakymo antrašteles ir kaip jį konfigūruoti (leidžiami origin'ai, metodai, antrašteles, kredencialai) yra būtina, kad susiektumėte front-end'us su FastAPI API be užblokuotų užklausų.

Tolygiai svarbu jį konfigūruoti **saugiai** — apriboti `allow_origins` konkrečia leidžiamų šaltinių sąrašu, o ne pasyviai `*` (ir suprasti, kad kredencialai nėra suderinami su jungtuvu) — ir suprasti esminę klaidingą sampratą, kad **CORS yra naršyklės mechanizmas, o ne API autorizacija** (jis neapsaugo nuo ne-naršyklės klientų).

Žinoti, kaip tinkamai ir saugiai konfigūruoti CORS, yra svarbi kasdieninė žinia bet kuriam FastAPI API, kuris vartojamas web front-end'ų.