CORS म्हणजे काय आणि Node मध्ये हे कसे हाताळायचे?

Question

Accepted Answer

**CORS** (Cross-Origin Resource Sharing) हे ब्राउজर सुरक्षा यंत्रणा आहे जो नियंत्रित करते की एका **origin** चे वेब पृष्ठ दुसऱ्या **origin** वरील सर्व्हरला विनंत्या करू शकते किंवा नाही. डिफॉल्टने, ब्राउজर क्रॉस-ऑरिजिन विनंत्या अवरोधित करते; सर्व्हर त्यांना प्रतिसाद हेडर्स द्वारे स्पष्टपणे अनुमती देणे आवश्यक आहे.

## Same-origin धोरण आणि समस्या

```text
Origin = scheme + host + port. These are DIFFERENT origins:
  https://app.example.com   →  https://api.example.com   (different host)
  http://localhost:3000     →  http://localhost:4000      (different port)

Browser blocks the cross-origin request UNLESS the server sends CORS headers allowing it.
```

तर `localhost:3000` वरील React अ‍ॅप `localhost:4000` वरील API ला कॉल करणे हे क्रॉस-ऑरिजिन आहे — ब्राउजर ते अवरोधित करते जोपर्यंत API मंजूरी देत नाही.

## मुख्य प्रतिसाद हेडर्स

```text
Access-Control-Allow-Origin: https://app.example.com   ← who is allowed
Access-Control-Allow-Methods: GET, POST, PUT, DELETE   ← allowed methods
Access-Control-Allow-Headers: Content-Type, Authorization
Access-Control-Allow-Credentials: true                 ← allow cookies/auth
```

सर्व्हर हे हेडर्स पाठवून प्रवेश नियंत्रित करते. ब्राउजर हे वाचते आणि निर्णय घेते की पृष्ठाला प्रतिसाद पाहता येईल की नाही.

## Express मध्ये CORS हाताळणे

```js
import cors from "cors";

// ❌ allow everything — convenient but insecure for credentialed/private APIs
app.use(cors());

// ✅ restrict to specific trusted origins
app.use(cors({
  origin: ["https://app.example.com", "http://localhost:3000"], // allowlist
  methods: ["GET", "POST", "PUT", "DELETE"],
  credentials: true, // allow cookies — REQUIRES a specific origin (not "*")
}));
```

`cors` मिडलवेअर आपल्यासाठी हेडर्स सेट करते. उत्पादनासाठी, **`origin` ला अनुमत सूचीवर मर्यादित करा** `*` च्या जागी — आणि लक्षात घ्या की credentials अनुमती देणे (`credentials: true`) वाइल्डकार्ड `*` सह असंगत आहे.

## Preflight विनंत्या

```text
For "non-simple" requests (PUT/DELETE, custom headers, JSON), the browser first
sends an OPTIONS "preflight" request to check permissions. The cors middleware
handles responding to it automatically.
```

## सामान्य गैरसमज

```text
CORS is enforced by the BROWSER, not the server. It does NOT protect your API
from non-browser clients (curl, Postman, other servers) — those ignore CORS.
It only governs what browser JavaScript on other origins can do.
```

## हे महत्वाचे का आहे

CORS हे वेब विकासातील सर्वात सामान्य अडचण आहे — लगेचच प्रत्येक front-end-ते-API सेटअप याचा सामना करते (विशेषत: स्थानीय dev मध्ये विविध पोर्टसह).

*का* हे अस्तित्वात आहे (ब्राउজर same-origin सुरक्षा), सर्व्हर हेडर्स द्वारे कसे मंजूरी देते, हे सुरक्षितपणे कसे कॉन्फिगर करायचे (अनुमत मूळे, सावधान credential हाताळणी), आणि महत्वाचे तथ्य की हे *ब्राउजर* यंत्रणा आहे (API प्राधिकरण नाही) हे समजून घेणे front-ends ला Node APIs ला योग्यरित्या आणि सुरक्षितपणे जोडण्यासाठी अवरोधित होऊ न दिल्याने किंवा सर्व्हरला खूप उघड न करता आवश्यक आहे.