Cum configurezi CORS în FastAPI?

Question

Accepted Answer

**CORS** (Cross-Origin Resource Sharing) este un mecanism de securitate al browserului care controlează dacă o pagină web dintr-o **origine** poate apela API-ul tău pe o origine diferită. FastAPI o configurează cu **`CORSMiddleware`** încorporat. Vei întâlni CORS ori de câte ori un frontend pe un domeniu/port diferit apelează API-ul tău.

## Problema pe care o rezolvă CORS

```text
A React app at http://localhost:3000 calling an API at http://localhost:8000 is
CROSS-ORIGIN (different port). The BROWSER blocks the response unless the API
sends CORS headers permitting that origin.
(origin = scheme + host + port)
```

## Configurarea CORSMiddleware

```python
from fastapi.middleware.cors import CORSMiddleware

app.add_middleware(
    CORSMiddleware,
    allow_origins=["https://app.example.com", "http://localhost:3000"],  # ALLOWLIST of origins
    allow_credentials=True,         # allow cookies/auth (requires specific origins, not "*")
    allow_methods=["*"],             # or ["GET", "POST", ...]
    allow_headers=["*"],
)
```

Middleware-ul adaugă anteturile de răspuns CORS necesare, spunând browserului care origini, metode și anteturi sunt permise. Browserul aplică aceste reguli.

## Securitate: restricționează originile (nu folosi "*")

```python
# ❌ allowing all origins — convenient but insecure for credentialed/private APIs
allow_origins=["*"]
# ✅ restrict to your known frontend origins (an allowlist)
allow_origins=["https://app.example.com"]
# NOTE: allow_credentials=True is INCOMPATIBLE with allow_origins=["*"]
```

Pentru producție, **restricționează `allow_origins` la o listă albă** în loc de `*`. De asemenea, permisiunea credențialelor (cookies/autentificare) necesită origini specifice — wildcard-ul nu este permis cu credențiale.

## O concepție greșită importantă

```text
CORS is enforced by the BROWSER, not the server. It does NOT protect your API from
non-browser clients (curl, Postman, other servers) — those ignore CORS entirely.
CORS only governs what browser JavaScript from other origins may do.
```

## De ce conteaza

CORS este una dintre cele mai frecvente piedici în dezvoltarea web — aproape fiecare configurare frontend-to-API o întâlnește (mai ales în dezvoltarea locală cu porturi diferite, și în producție cu un domeniu frontend separat), deci știind cum să o configurezi cu `CORSMiddleware` din FastAPI este o cunoaștere practică, des necesară.

Înțelegerea *motivului* pentru care există (securitatea browserului same-origin), cum serverul acceptă aceasta prin anteturi de răspuns, și cum să o configurezi (origini permise, metode, anteturi, credențiale) este necesară pentru a conecta frontend-uri la API-uri FastAPI fără ca cererile să fie blocate.

La fel de important este să o configurezi **în siguranță** — restricționând `allow_origins` la o listă albă specifică în loc de permisivul `*` (și înțelegând că credențialele sunt incompatibile cu wildcard-ul) — și înțelegând concepția greșită crucială că **CORS este un mecanism de browser, nu autorizare API** (nu protejează împotriva clienților non-browser).

A ști cum să configurezi CORS corect și în siguranță este o cunoaștere importantă de zi cu zi pentru orice API FastAPI consumat de un frontend web.