ਤੁਸੀਂ FastAPI ਵਿੱਚ CORS ਨੂੰ ਕਿਵੇਂ ਸੰਰਚਨਾ ਕਰਦੇ ਹੋ?

Question

Accepted Answer

**CORS** (Cross-Origin Resource Sharing) ਇੱਕ ਬ੍ਰਾਊਜ਼ਰ ਸੁਰੱਖਿਆ ਵਿਧੀ ਹੈ ਜੋ ਇਹ ਨਿਯੰਤ੍ਰਿਤ ਕਰਦੀ ਹੈ ਕਿ ਕੀ ਇੱਕ **origin** ਤੋਂ ਇੱਕ ਵੈੱਬ ਪੰਨਾ ਵਿਭਿੰਨ origin ਤੇ ਆਪਣੀ API ਨੂੰ ਕਾਲ ਕਰ ਸਕਦਾ ਹੈ। FastAPI ਇਸਨੂੰ ਬਿਲਟ-ਇਨ **`CORSMiddleware`** ਦੇ ਨਾਲ ਸੰਰਚਿਤ ਕਰਦਾ ਹੈ। ਜਦੋਂ ਵੀ ਵਿਭਿੰਨ ਡੋਮੇਨ/ਪੋਰਟ ਤੇ ਇੱਕ ਫ੍ਰੰਟਐਂਡ ਆਪਣੀ API ਨੂੰ ਕਾਲ ਕਰਦਾ ਹੈ ਤਾਂ ਤੁਹਾਨੂੰ CORS ਦਾ ਸਾਹਮਣਾ ਕਰਨਾ ਪਵੇਗਾ।

## CORS ਜੋ ਸਮੱਸਿਆ ਨੂੰ ਹੱਲ ਕਰਦਾ ਹੈ

```text
A React app at http://localhost:3000 calling an API at http://localhost:8000 is
CROSS-ORIGIN (different port). The BROWSER blocks the response unless the API
sends CORS headers permitting that origin.
(origin = scheme + host + port)
```

## CORSMiddleware ਨੂੰ ਸੰਰਚਿਤ ਕਰਨਾ

```python
from fastapi.middleware.cors import CORSMiddleware

app.add_middleware(
    CORSMiddleware,
    allow_origins=["https://app.example.com", "http://localhost:3000"],  # ALLOWLIST of origins
    allow_credentials=True,         # allow cookies/auth (requires specific origins, not "*")
    allow_methods=["*"],             # or ["GET", "POST", ...]
    allow_headers=["*"],
)
```

ਮਿਡਲਵੇਅਰ ਲਾਜ਼ਮੀ CORS ਜਵਾਬ ਹੈਡਰ ਜੋੜਦਾ ਹੈ, ਬ੍ਰਾਊਜ਼ਰ ਨੂੰ ਦੱਸਦਾ ਹੈ ਕਿ ਕਿਹੜੇ origins, methods, ਅਤੇ headers ਅਨੁਮਤ ਹਨ। ਬ੍ਰਾਊਜ਼ਰ ਇਹਨਾਂ ਨਿਯਮਾਂ ਨੂੰ ਲਾਗੂ ਕਰਦਾ ਹੈ।

## ਸੁਰੱਖਿਆ: origins ਨੂੰ ਸੀਮਿਤ ਕਰੋ ("*" ਦੀ ਵਰਤੋਂ ਨਾ ਕਰੋ)

```python
# ❌ allowing all origins — convenient but insecure for credentialed/private APIs
allow_origins=["*"]
# ✅ restrict to your known frontend origins (an allowlist)
allow_origins=["https://app.example.com"]
# NOTE: allow_credentials=True is INCOMPATIBLE with allow_origins=["*"]
```

ਪ੍ਰੋਡਕਸ਼ਨ ਲਈ, **`allow_origins` ਨੂੰ ਇੱਕ allowlist ਤੇ ਸੀਮਿਤ ਕਰੋ** "*" ਦੀ ਬਜਾਏ। ਨਾਲ ਹੀ, credentials (cookies/auth) ਦੀ ਅਨੁਮਤਿ ਵਿਸ਼ੇਸ਼ origins ਦੀ ਲੋੜ ਹੈ — wildcard ਨੂੰ credentials ਦੇ ਨਾਲ ਅਨੁਮਤਿ ਨਹੀਂ ਹੈ।

## ਇੱਕ ਮੁੱਖ ਗਲਤ ਧਾਰਨਾ

```text
CORS is enforced by the BROWSER, not the server. It does NOT protect your API from
non-browser clients (curl, Postman, other servers) — those ignore CORS entirely.
CORS only governs what browser JavaScript from other origins may do.
```

## ਇਹ ਕਿਉਂ ਮਹੱਤਵਪੂਰਨ ਹੈ

CORS ਵੈੱਬ ਵਿਕਾਸ ਵਿੱਚ ਸਭ ਤੋਂ ਆਮ ਰੁਕਾਵਟਾਂ ਵਿੱਚੋਂ ਇੱਕ ਹੈ — ਲਗਭਗ ਹਰ ਫ੍ਰੰਟਐਂਡ-ਤੋਂ-API ਸੈਟਅਪ ਨੂੰ ਇਹ ਦਾ ਸਾਹਮਣਾ ਕਰਨਾ ਪਵੇਂਦਾ ਹੈ (ਖਾਸ ਕਰਕੇ ਲੋਕਲ ਡਿਵੈਲਪਮੈਂਟ ਵਿੱਚ ਵੱਖ-ਵੱਖ ports ਦੇ ਨਾਲ, ਅਤੇ ਪ੍ਰੋਡਕਸ਼ਨ ਵਿੱਚ ਇੱਕ ਵੱਖ ਫ੍ਰੰਟਐਂਡ ਡੋਮੇਨ ਦੇ ਨਾਲ), ਇਸ ਲਈ FastAPI ਦੇ `CORSMiddleware` ਦੇ ਨਾਲ ਇਹ ਕਿਵੇਂ ਸੰਰਚਿਤ ਕਰਨਾ ਹੈ ਇਹ ਜਾਨਣਾ ਵਿਹਾਰਕ, ਅਕਸਰ-ਲੋੜੀਂਦਾ ਗਿਆਨ ਹੈ।

*ਕਿਉਂ* ਇਹ ਮੌਜੂਦ ਹੈ (ਬ੍ਰਾਊਜ਼ਰ same-origin ਸੁਰੱਖਿਆ), ਸਰਵਰ ਜਵਾਬ ਹੈਡਰ ਰਾਹੀਂ ਕਿਵੇਂ opt in ਕਰਦਾ ਹੈ, ਅਤੇ ਇਹ ਕਿਵੇਂ ਸੰਰਚਿਤ ਕਰਨਾ ਹੈ (ਅਨੁਮਤ origins, methods, headers, credentials) ਇਹ ਸਮਝਣਾ ਲਾਜ਼ਮੀ ਹੈ ਤਾਂ ਕਿ FastAPI APIs ਨੂੰ ਫ੍ਰੰਟਐਂਡਸ ਨਾਲ ਬਿਨਾਂ requests ਦੇ ਬਲੌਕ ਹੋਣ ਜੋੜ ਸਕੋ।

ਬਰਾਬਰ ਮਹੱਤਵਪੂਰਨ ਇਹ ਹੈ ਕਿ ਇਸਨੂੰ **ਸੁਰੱਖਿਤ ਢੰਗ ਨਾਲ** ਸੰਰਚਿਤ ਕਰਨਾ — `allow_origins` ਨੂੰ ਇੱਕ ਖਾਸ allowlist ਤੇ ਸੀਮਿਤ ਕਰਨਾ ਵਰਜਨ "*" ਦੀ ਬਜਾਏ (ਅਤੇ ਸਮਝਣਾ ਕਿ credentials wildcard ਦੇ ਨਾਲ ਅਸਥਿਰ ਹਨ) — ਅਤੇ ਮਹੱਤਵਪੂਰਨ ਗਲਤ ਧਾਰਨਾ ਨੂੰ ਗ੍ਰਹਿਣ ਕਰਨਾ ਕਿ **CORS ਇੱਕ ਬ੍ਰਾਊਜ਼ਰ ਵਿਧੀ ਹੈ, API ਪ੍ਰਮਾਣੀਕਰਣ ਨਹੀਂ** (ਇਹ ਗੈਰ-ਬ੍ਰਾਊਜ਼ਰ ਕਲਾਇਟਸ ਤੋਂ ਰੱਖਿਆ ਨਹੀਂ ਕਰਦਾ)।

CORS ਨੂੰ ਸਹੀ ਅਤੇ ਸੁਰੱਖਿਤ ਢੰਗ ਨਾਲ ਸੈੱਟ ਅਪ ਕਰਨਾ ਜਾਣਨਾ ਕਿਸੇ ਵੀ FastAPI API ਜਾਂ ਵੈੱਬ ਫ੍ਰੰਟਐਂਡ ਦੁਆਰਾ ਖਪਤ ਹੋਣ ਵਾਲਾ ਮਹੱਤਵਪੂਰਨ ਰੋਜ਼ਮਰ੍ਹਾ ਗਿਆਨ ਹੈ।