Kif tikkunfigurava CORS f'FastAPI?

Question

Accepted Answer

**CORS** (Cross-Origin Resource Sharing) huwa mekkaniżmu ta' sigurtà tal-browser li jikkontrolla jekk paġna web minn oriġini waħda tista' ċċaj l-API tiegħek fuq oriġini differenti. FastAPI jikkunfiguraha bl-**`CORSMiddleware`** integrata. Inti se taqbel CORS kull meta frontend minn domain/port differenti jċaj l-API tiegħek.

## Il-problema li CORS ssolvi

```text
A React app at http://localhost:3000 calling an API at http://localhost:8000 is
CROSS-ORIGIN (different port). The BROWSER blocks the response unless the API
sends CORS headers permitting that origin.
(origin = scheme + host + port)
```

## Konfigurazzjoni ta' CORSMiddleware

```python
from fastapi.middleware.cors import CORSMiddleware

app.add_middleware(
    CORSMiddleware,
    allow_origins=["https://app.example.com", "http://localhost:3000"],  # ALLOWLIST of origins
    allow_credentials=True,         # allow cookies/auth (requires specific origins, not "*")
    allow_methods=["*"],             # or ["GET", "POST", ...]
    allow_headers=["*"],
)
```

Il-middleware iżżid il-headers ta' rispons CORS meħtieġa, iqal lill-browser liema oriġini, metodi, u headers huma permessi. Il-browser jenforza dawn ir-regoli.

## Sigurtà: irrestrinġi l-oriġini (tużax "*")

```python
# ❌ allowing all origins — convenient but insecure for credentialed/private APIs
allow_origins=["*"]
# ✅ restrict to your known frontend origins (an allowlist)
allow_origins=["https://app.example.com"]
# NOTE: allow_credentials=True is INCOMPATIBLE with allow_origins=["*"]
```

Għal-produzzjoni, **irrestrinġi `allow_origins` għal allowlist** minflok `*`. Barra minn hekk, li ippermetti credentials (cookies/auth) jeħtieġ oriġini speċifiċi — il-wildcard mhuwiex permess ma' credentials.

## Kunċizzjoni ħamsa mixi

```text
CORS is enforced by the BROWSER, not the server. It does NOT protect your API from
non-browser clients (curl, Postman, other servers) — those ignore CORS entirely.
CORS only governs what browser JavaScript from other origins may do.
```

## Għaliex huwa importanti

CORS huwa wieħed mill-akbar problemi fl-iżvilupp tal-web — bħala bażikament kull setup frontend-to-API jaqbel (speċjalment fl-iżvilupp lokali b'ports differenti, u fl-produzzjoni b'domain frontend separata), għalhekk li tafu kif tikkunfiguraha bl-`CORSMiddleware` ta' FastAPI huwa għarfien prattiku u ta' spiss meħtieġ.

Ef-fhem ta' *għaliex* jeżisti (sigurtà same-origin tal-browser), kif is-server jaċċetta permezz ta' headers ta' rispons, u kif tikkunfiguraha (oriġini permessi, metodi, headers, credentials) huwa neċessarju biex taqbel frontends ma' API FastAPI mingħajr ma jitħabbtu r-riħwejjiet.

Bikoll importanti huwa li tikkunfiguraha **b'mod sigur** — irrestrinġi `allow_origins` għal allowlist speċifiku minflok `*` permissivi (u fahm li credentials mhumiex kompatibli max-wildcard) — u ifthem l-kunċizzjoni ħamsa mixi li **CORS huwa mekkaniżmu tal-browser, mhux awtorizzazzjoni tal-API** (ma tipproteġix minn non-browser clients).

Il-ħarfien kif tikkunfigura CORS korrezzjonalment u b'mod sigur huwa għarfien importanti tal-kuljum għal API FastAPI kwalunkwe kkonsumata minn frontend tal-web.