CORS के हो र Node मा यसलाई कसरी सम्भाल्नुहुन्छ?

Question

Accepted Answer

**CORS** (Cross-Origin Resource Sharing) एक ब्राउजर सुरक्षा मेकानिजम हो जसले नियन्त्रण गर्छ कि एक **origin** बाट आएको वेब पृष्ठ अन्य **origin** मा रहेको सर्भरमा अनुरोध गर्न सक्छ कि सक्दैन। पूर्वनिर्धारित रूपमा, ब्राउजरहरूले क्रस-ओरिजिन अनुरोधहरू रोक्छन्; सर्भरले प्रतिक्रिया हेडर्स मार्फत स्पष्ट रूपमा तिनलाई अनुमति दिनु पर्छ।

## Same-origin नीति र समस्या

```text
Origin = scheme + host + port. These are DIFFERENT origins:
  https://app.example.com   →  https://api.example.com   (different host)
  http://localhost:3000     →  http://localhost:4000      (different port)

Browser blocks the cross-origin request UNLESS the server sends CORS headers allowing it.
```

तसर्थ `localhost:3000` मा React एप्लिकेशनले `localhost:4000` मा API लाई कल गर्नु क्रस-ओरिजिन हो — ब्राउजरले यसलाई रोक्छ जब सम्म API अनुमति दिँदैन।

## मुख्य प्रतिक्रिया हेडर्स

```text
Access-Control-Allow-Origin: https://app.example.com   ← who is allowed
Access-Control-Allow-Methods: GET, POST, PUT, DELETE   ← allowed methods
Access-Control-Allow-Headers: Content-Type, Authorization
Access-Control-Allow-Credentials: true                 ← allow cookies/auth
```

सर्भरले यी हेडर्स पठाएर पहुँचलाई नियन्त्रण गर्छ। ब्राउजरले तिनलाई पढेर निर्णय गर्छ कि पृष्ठलाई प्रतिक्रिया देख्न दिने कि नदिने।

## Express मा CORS सम्भाल्नु

```js
import cors from "cors";

// ❌ allow everything — convenient but insecure for credentialed/private APIs
app.use(cors());

// ✅ restrict to specific trusted origins
app.use(cors({
  origin: ["https://app.example.com", "http://localhost:3000"], // allowlist
  methods: ["GET", "POST", "PUT", "DELETE"],
  credentials: true, // allow cookies — REQUIRES a specific origin (not "*")
}));
```

`cors` मिडलवेयर तपाईंको लागि हेडर्स सेट गर्छ। उत्पादनको लागि, **`origin` लाई अनुमत सूचीमा सीमित गर्नुहोस्** `*` को सट्टामा — र ध्यान दिनुहोस् कि प्रमाणपत्रहरु अनुमति दिनु (`credentials: true`) वाइल्डकार्ड `*` सँग असंगत छ।

## Preflight अनुरोधहरू

```text
For "non-simple" requests (PUT/DELETE, custom headers, JSON), the browser first
sends an OPTIONS "preflight" request to check permissions. The cors middleware
handles responding to it automatically.
```

## सामान्य गलतफहमी

```text
CORS is enforced by the BROWSER, not the server. It does NOT protect your API
from non-browser clients (curl, Postman, other servers) — those ignore CORS.
It only governs what browser JavaScript on other origins can do.
```

## यो किन महत्त्वपूर्ण छ

CORS वेब विकासमा सबैभन्दा सामान्य अवरोधहरू मध्ये एक हो — लगभग प्रत्येक front-end-देखि-API सेटअपले यसको सामना गर्छ (विशेष गरी विभिन्न पोर्ट भएको स्थानीय dev मा)।

*किन* यो अस्तित्वमा छ (ब्राउजर same-origin सुरक्षा), सर्भर हेडर्स मार्फत कसरी अनुमति दिन्छ, यसलाई सुरक्षित रूपमा कसरी कन्फिगर गर्ने (अनुमत origins, सावधानीपूर्वक प्रमाणपत्र ह्यान्डलिङ्ग), र महत्वपूर्ण तथ्य कि यो *ब्राउजर* मेकानिजम हो (API प्राधिकार नभई) front-ends लाई Node APIs सँग सही र सुरक्षित रूपमा जोड्न बिना अवरोधित वा सर्भर अत्यधिक उजागर नगरी आवश्यक छ।