FastAPI मा CORS कसरी कन्फिगर गर्नुहुन्छ?

Question

Accepted Answer

**CORS** (Cross-Origin Resource Sharing) एक ब्राउजर सुरक्षा मेकानिज्म हो जसले नियन्त्रण गर्छ कि एक **origin** बाट आएको वेब पेज तपाईंको API लाई फरक origin मा कल गर्न सक्छ वा सक्दैन। FastAPI ले यसलाई बिल्ट-इन **`CORSMiddleware`** सँग कन्फिगर गर्छ। जब एक फ्रन्टएन्ड फरक डोमेन/पोर्टबाट तपाईंको API लाई कल गर्छ, तपाईले CORS सामना गर्नुहुन्छ।

## CORS ले सम्बोधन गर्ने समस्या

```text
A React app at http://localhost:3000 calling an API at http://localhost:8000 is
CROSS-ORIGIN (different port). The BROWSER blocks the response unless the API
sends CORS headers permitting that origin.
(origin = scheme + host + port)
```

## CORSMiddleware कन्फिगर गर्ने

```python
from fastapi.middleware.cors import CORSMiddleware

app.add_middleware(
    CORSMiddleware,
    allow_origins=["https://app.example.com", "http://localhost:3000"],  # ALLOWLIST of origins
    allow_credentials=True,         # allow cookies/auth (requires specific origins, not "*")
    allow_methods=["*"],             # or ["GET", "POST", ...]
    allow_headers=["*"],
)
```

मिडलवेयरले आवश्यक CORS प्रतिक्रिया हेडरहरू थप्छ, ब्राउजरलाई बताउँछ कि कुन origins, methods, र headers अनुमति दिइएको छ। ब्राउजरले यी नियमहरू लागू गर्छ।

## सुरक्षा: origins प्रतिबन्धित गर्नुहोस् ("*" प्रयोग गर्नुहोस्)

```python
# ❌ allowing all origins — convenient but insecure for credentialed/private APIs
allow_origins=["*"]
# ✅ restrict to your known frontend origins (an allowlist)
allow_origins=["https://app.example.com"]
# NOTE: allow_credentials=True is INCOMPATIBLE with allow_origins=["*"]
```

उत्पादनको लागि, **`allow_origins` लाई "*" को सट्टा एक allowlist मा प्रतिबन्धित गर्नुहोस्**। साथै, credentials (cookies/auth) अनुमति दिनु विशिष्ट origins चाहिन्छ — wildcard credentials सँग अनुमति दिइन्न।

## एक मुख्य गलतफहमी

```text
CORS is enforced by the BROWSER, not the server. It does NOT protect your API from
non-browser clients (curl, Postman, other servers) — those ignore CORS entirely.
CORS only governs what browser JavaScript from other origins may do.
```

## यो किन महत्त्वपूर्ण छ

CORS वेब विकासमा सबैभन्दा सामान्य बाधाहरू मध्ये एक हो — लगभग हरेक फ्रन्टएन्ड-देखि-API सेटअपले यसलाई सामना गर्छ (विशेष गरी स्थानीय विकासमा फरक ports सँग, र उत्पादनमा अलग फ्रन्टएन्ड डोमेन सँग), त्यसैले FastAPI को `CORSMiddleware` सँग यसलाई कसरी कन्फिगर गर्ने भन्ने कुरा जान्नु व्यावहारिक, बारम्बार आवश्यक ज्ञान हो।

यो समझ्नु आवश्यक छ कि यो किन अस्तित्वमा छ (ब्राउजर same-origin सुरक्षा), सर्भरले प्रतिक्रिया हेडरहरूमार्फत कसरी अपट-इन गर्छ, र यसलाई कसरी कन्फिगर गर्ने (अनुमति दिइएका origins, methods, headers, credentials)।

समान रूपमा महत्त्वपूर्ण छ यसलाई **सुरक्षित रूपमा** कन्फिगर गर्नु — `allow_origins` लाई विशिष्ट allowlist मा प्रतिबन्धित गर्नु अनुमति दिने "*" को सट्टा (र समझ्नु कि credentials wildcard सँग असंगत छ) — र महत्त्वपूर्ण गलतफहमी गृहण गर्नु कि **CORS एक ब्राउजर मेकानिज्म हो, API अनुमोदन होइन** (यो गैर-ब्राउजर क्लाइन्टहरूबाट सुरक्षा गर्दैन)।

CORS लाई सही र सुरक्षित रूपमा सेटअप गर्न जान्नु वेब फ्रन्टएन्ड द्वारा खपत गरिएको कुनै पनि FastAPI API को लागि महत्त्वपूर्ण दैनिक ज्ञान हो।