CORS అంటే ఏమిటి మరియు మీరు Node లో దానిని ఎలా నిర్వహిస్తారు?

Question

Accepted Answer

**CORS** (Cross-Origin Resource Sharing) అనేది ఒక **origin** నుండి వచ్చిన వెబ్ పేజీ వేరే **origin** లో సర్వర్ కు అభ్యర్థనలు చేయగలదా అని నియంత్రించే బ్రౌజర్ సురక్షా విధానం. డిఫాల్ట్‌గా, బ్రౌజర్‌లు cross-origin అభ్యర్థనలను నిరోధిస్తాయి; సర్వర్ వాటిని ప్రతిస్పందన శీర్షికల ద్వారా స్పష్టంగా అనుమతించాలి.

## same-origin విధానం మరియు సమస్య

```text
Origin = scheme + host + port. These are DIFFERENT origins:
  https://app.example.com   →  https://api.example.com   (different host)
  http://localhost:3000     →  http://localhost:4000      (different port)

Browser blocks the cross-origin request UNLESS the server sends CORS headers allowing it.
```

तो `localhost:3000` పై React అప్లికేషన్ `localhost:4000` పై API కి కాల్ చేయడం cross-origin — సర్వర్ ఆప్ట్ ఇన్ చేయకపోతే బ్రౌజర్ దానిని నిరోధిస్తుంది.

## ముఖ్య ప్రతిస్పందన శీర్షికలు

```text
Access-Control-Allow-Origin: https://app.example.com   ← who is allowed
Access-Control-Allow-Methods: GET, POST, PUT, DELETE   ← allowed methods
Access-Control-Allow-Headers: Content-Type, Authorization
Access-Control-Allow-Credentials: true                 ← allow cookies/auth
```

సర్వర్ ఈ శీర్షికలను పంపడం ద్వారా ప్రాప్యతను నియంత్రిస్తుంది. బ్రౌజర్ వాటిని చదువుకుని పేజీ ప్రతిస్పందనను చూడటానికి అనుమతించాలా అని నిర్ణయిస్తుంది.

## Express లో CORS ను నిర్వహించడం

```js
import cors from "cors";

// ❌ allow everything — convenient but insecure for credentialed/private APIs
app.use(cors());

// ✅ restrict to specific trusted origins
app.use(cors({
  origin: ["https://app.example.com", "http://localhost:3000"], // allowlist
  methods: ["GET", "POST", "PUT", "DELETE"],
  credentials: true, // allow cookies — REQUIRES a specific origin (not "*")
}));
```

`cors` middleware మీ కోసం శీర్షికలను సెట్ చేస్తుంది. ఉత్పత్తిలో, **`origin` ను `*` కు బదులుగా allowlist కు పరిమితం చేయండి** — మరియు credentials (`credentials: true`) ను అనుమతించడం wildcard `*` కు విరుద్ధమని గమనించండి.

## Preflight అభ్యర్థనలు

```text
For "non-simple" requests (PUT/DELETE, custom headers, JSON), the browser first
sends an OPTIONS "preflight" request to check permissions. The cors middleware
handles responding to it automatically.
```

## సాధారణ అపjoão

```text
CORS is enforced by the BROWSER, not the server. It does NOT protect your API
from non-browser clients (curl, Postman, other servers) — those ignore CORS.
It only governs what browser JavaScript on other origins can do.
```

## ఇది ఎందుకు ముఖ్యమైనది

CORS వెబ్ డెవలప్‌మెంట్‌లో అత్యంత సాధారణ అడ్డంకులలో ఒకటి — దాదాపు ప్రతిটి front-end-to-API సెటప్ దానిని తాకుతుంది (ముఖ్యంగా విభిన్న పోర్టులతో స్థానిక dev లో).

*ఎందుకు* ఇది ఉంది (బ్రౌజర్ same-origin సురక్షకు), సర్వర్ శీర్షికల ద్వారా ఎలా ఆప్ట్ ఇన్ చేస్తుంది, దానిని సురక్షితంగా ఎలా కాన్ఫిగర్ చేయాలి (allowlist origins, జాగ్రత్తగా credential హ్యాండ్లింగ్), మరియు ఇది *బ్రౌజర్* విధానం (API అధికారం కాదు) అనే కీలక వాస్తవం అర్థం చేసుకోవడం front-ends ను Node APIs కి సరిగ్గా మరియు సురక్షితంగా అనుసంధానం చేయడానికి సర్వర్‌ను బ్లాక్ చేయకుండా లేదా overexpose చేయకుండా అవసరం.