Çfarë është CORS dhe si e trajtoni atë në Node?

Question

Accepted Answer

**CORS** (Cross-Origin Resource Sharing) është një mekanizëm sigurie i shfletuesit që kontrollon nëse një faqe interneti nga një **origjinë** mund të bëjë kërkesa në një server në një **origjinë të ndryshme**. Si parazgjedhje, shfletuesit bllokojnë kërkesa cross-origin; serveri duhet t'i lejojë në mënyrë eksplicite përmes headerave të përgjigjes.

## Politika e origjinës së njëjtë dhe problemi

```text
Origin = scheme + host + port. These are DIFFERENT origins:
  https://app.example.com   →  https://api.example.com   (different host)
  http://localhost:3000     →  http://localhost:4000      (different port)

Browser blocks the cross-origin request UNLESS the server sends CORS headers allowing it.
```

So a React app on `localhost:3000` calling an API on `localhost:4000` is cross-origin — the browser blocks it unless the API opts in.

## Headerave kryesore të përgjigjes

```text
Access-Control-Allow-Origin: https://app.example.com   ← who is allowed
Access-Control-Allow-Methods: GET, POST, PUT, DELETE   ← allowed methods
Access-Control-Allow-Headers: Content-Type, Authorization
Access-Control-Allow-Credentials: true                 ← allow cookies/auth
```

Serveri kontrollon aksesin duke dërguar këto headera. Shfletuesi i lexon ato dhe vendos nëse t'i lejojë faqes të shohë përgjigjen.

## Trajtimi i CORS në Express

```js
import cors from "cors";

// ❌ allow everything — convenient but insecure for credentialed/private APIs
app.use(cors());

// ✅ restrict to specific trusted origins
app.use(cors({
  origin: ["https://app.example.com", "http://localhost:3000"], // allowlist
  methods: ["GET", "POST", "PUT", "DELETE"],
  credentials: true, // allow cookies — REQUIRES a specific origin (not "*")
}));
```

Middleware-i `cors` i vendos headeravë për ju. Për prodhim, **kufizoni `origin` në një listë të lejuarit** në vend të `*` — dhe vini re se lejimi i kredencialeve (`credentials: true`) është i papajtueshëm me zëvendësuesin `*`.

## Kërkesa Preflight

```text
For "non-simple" requests (PUT/DELETE, custom headers, JSON), the browser first
sends an OPTIONS "preflight" request to check permissions. The cors middleware
handles responding to it automatically.
```

## Keqkuptime të zakonshme

```text
CORS is enforced by the BROWSER, not the server. It does NOT protect your API
from non-browser clients (curl, Postman, other servers) — those ignore CORS.
It only governs what browser JavaScript on other origins can do.
```

## Pse është i rëndësishëm

CORS është një nga pengesat më të zakonshme në zhvillimin e uebit — pothuajse çdo konfiguracion front-end-në-API e arrin atë (veçanërisht në zhvillimin lokal me porta të ndryshme).

Përmendja *pse* ekziston (siguria e origjinës së njëjtë të shfletuesit), si serveri zgjidhet përmes headerave, si ta konfiguroni atë me siguri (listat e lejuarit të origjinës, trajtimi i kujdesshëm i kredencialeve) dhe fakti themelor se është një mekanizëm *shfletuesi* (jo autentifikimi i API) është thelbësor për të lidhur në mënyrë korrekte dhe të sigurt front-endet me API-t Node pa u bllokuar ose të ekspozuar në terheqjet e serverit.