Hvordan konfigurerer du CORS i FastAPI?

Question

Accepted Answer

**CORS** (Cross-Origin Resource Sharing) er en nettlesersikkerhetsmekanisme som kontrollerer om en nettside fra ett **origin** kan kalle APIen din på et annet origin. FastAPI konfigurerer det med den innebygde **`CORSMiddleware`**. Du vil støte på CORS når et frontend fra et annet domene/port kaller APIen din.

## Problemet CORS løser

```text
A React app at http://localhost:3000 calling an API at http://localhost:8000 is
CROSS-ORIGIN (different port). The BROWSER blocks the response unless the API
sends CORS headers permitting that origin.
(origin = scheme + host + port)
```

## Konfigurere CORSMiddleware

```python
from fastapi.middleware.cors import CORSMiddleware

app.add_middleware(
    CORSMiddleware,
    allow_origins=["https://app.example.com", "http://localhost:3000"],  # ALLOWLIST of origins
    allow_credentials=True,         # allow cookies/auth (requires specific origins, not "*")
    allow_methods=["*"],             # or ["GET", "POST", ...]
    allow_headers=["*"],
)
```

Middleware legger til de nødvendige CORS-responsheaderingene, som forteller nettleseren hvilke origins, metoder og headringer som er tillatt. Nettleseren håndhever disse reglene.

## Sikkerhet: begrens origins (ikke bruk "*")

```python
# ❌ allowing all origins — convenient but insecure for credentialed/private APIs
allow_origins=["*"]
# ✅ restrict to your known frontend origins (an allowlist)
allow_origins=["https://app.example.com"]
# NOTE: allow_credentials=True is INCOMPATIBLE with allow_origins=["*"]
```

I produksjon bør du **begrense `allow_origins` til en tillateliste** i stedet for `*`. Hvis du tillater legitimasjon (cookies/autentisering), kreves også spesifikke origins — jokertegnet er ikke tillatt med legitimasjon.

## Et viktig misforståelse

```text
CORS is enforced by the BROWSER, not the server. It does NOT protect your API from
non-browser clients (curl, Postman, other servers) — those ignore CORS entirely.
CORS only governs what browser JavaScript from other origins may do.
```

## Hvorfor det er viktig

CORS er en av de vanligste fallgruvene innen webutvikling — nesten hver frontend-til-API-oppsett støter på det (spesielt i lokal utvikling med ulike porter, og i produksjon med et eget frontend-domene), så det å vite hvordan du konfigurerer det med FastAPIs `CORSMiddleware` er praktisk og hyppig nødvendig kunnskap.

Det å forstå *hvorfor* det eksisterer (nettleserens same-origin-sikkerhet), hvordan serveren velger seg inn via responsheadringer, og hvordan du konfigurerer det (tillatte origins, metoder, headringer, legitimasjon) er nødvendig for å koble frontend til FastAPI-APIer uten at forespørsler blir blokkert.

Like viktig er å konfigurere det **sikkert** — å begrense `allow_origins` til en spesifikk tillateliste i stedet for den tillatelive `*` (og forstå at legitimasjon er inkompatibel med jokertegnet) — og å forstå den viktige misforståelsen at **CORS er en nettlesermekanisme, ikke API-autorisasjon** (det beskytter ikke mot ikke-nettleserklients).

Det å vite hvordan du setter opp CORS korrekt og sikkert er viktig hverdagskunnskap for enhver FastAPI-API som brukes av et webbfrontend.