Si e konfiguroni CORS në FastAPI?

Question

Accepted Answer

**CORS** (Cross-Origin Resource Sharing) është një mekanizëm sigurimi i shfletësit që kontrollon nëse një faqe web nga një **origjinë** mund të thirret API-ja juaj në një origjinë të ndryshme. FastAPI e konfiguron atë me **`CORSMiddleware`** të integruar. Do të takoni CORS sa herë që një frontend në një domen/port të ndryshëm thërret API-në tuaj.

## Problemi që CORS zgjidh

```text
A React app at http://localhost:3000 calling an API at http://localhost:8000 is
CROSS-ORIGIN (different port). The BROWSER blocks the response unless the API
sends CORS headers permitting that origin.
(origin = scheme + host + port)
```

## Konfigurimi i CORSMiddleware

```python
from fastapi.middleware.cors import CORSMiddleware

app.add_middleware(
    CORSMiddleware,
    allow_origins=["https://app.example.com", "http://localhost:3000"],  # ALLOWLIST of origins
    allow_credentials=True,         # allow cookies/auth (requires specific origins, not "*")
    allow_methods=["*"],             # or ["GET", "POST", ...]
    allow_headers=["*"],
)
```

Middleware-i shton header-ët e nevojshëm të përgjigjes CORS, duke i thënë shfletësit cilat origjina, metoda dhe header-a janë të lejuara. Shfletësi zbaton këto rregulla.

## Sigurimi: kufizoni origjina (mos përdorni "*")

```python
# ❌ allowing all origins — convenient but insecure for credentialed/private APIs
allow_origins=["*"]
# ✅ restrict to your known frontend origins (an allowlist)
allow_origins=["https://app.example.com"]
# NOTE: allow_credentials=True is INCOMPATIBLE with allow_origins=["*"]
```

Për prodhimin, **kufizoni `allow_origins` në një listë të lejuara** në vend të `*`. Gjithashtu, lejimi i kredencialsave (cookies/auth) kërkon origjina specifike — wildcard-i nuk lejohet me kredenciale.

## Një keqkuptim i rëndësishëm

```text
CORS is enforced by the BROWSER, not the server. It does NOT protect your API from
non-browser clients (curl, Postman, other servers) — those ignore CORS entirely.
CORS only governs what browser JavaScript from other origins may do.
```

## Pse ka rëndësi

CORS është një nga bllokim-pikat më të zakonshme në zhvillimin e uebit — pothuajse çdo setup frontend-to-API e takon atë (veçanërisht në zhvillimin lokal me porta të ndryshme, dhe në prodhim me një domen të përparme të veçantë), kështu që të dish se si ta konfigurosh atë me `CORSMiddleware` të FastAPI-t është njohuritë praktike dhe shpesh të nevojshme.

Kuptimi *pse* ekziston (sigurimi i same-origin i shfletësit), si serveri zëvendësohet përmes header-ave të përgjigjes, dhe si ta konfigurosh atë (origjina të lejuara, metoda, header-a, kredenciale) është i nevojshëm për të lidhur frontend-et me API-të FastAPI pa kërkesa të bllokuara.

Poashtu i rëndësishëm është ta konfigurosh atë **me siguri** — kufizimi i `allow_origins` në një listë specifike të lejuara në vend të permisivit `*` (dhe kuptimi se kredencialet janë të papajtueshme me wildcard-in) — dhe kuptimi i keqkuptimit vendor që **CORS është një mekanizëm shfletësi, jo autorizim API** (nuk mbron kundër klientëve jo-shfletësi).

Të dish se si të vendosësh CORS në mënyrë të saktë dhe të sigurt është njohuritë e rëndësishme të përditshme për çdo API FastAPI të konsumuar nga një frontend uebi.