CORS nedir ve Node'da bunu nasıl ele alırsınız?

Question

Accepted Answer

**CORS** (Cross-Origin Resource Sharing), bir **origin** dan gelen bir web sayfasının başka bir **origin** üzerindeki bir sunucuya isteklerde bulunup bulunamayacağını kontrol eden bir tarayıcı güvenlik mekanizmasıdır. Varsayılan olarak, tarayıcılar cross-origin isteklerini engeller; sunucunun bunlara yanıt başlıkları aracılığıyla açıkça izin vermesi gerekir.

## Aynı origin politikası ve sorun

```text
Origin = scheme + host + port. These are DIFFERENT origins:
  https://app.example.com   →  https://api.example.com   (different host)
  http://localhost:3000     →  http://localhost:4000      (different port)

Browser blocks the cross-origin request UNLESS the server sends CORS headers allowing it.
```

Yani `localhost:3000` üzerindeki bir React uygulamasının `localhost:4000` üzerindeki bir API'yi çağırması cross-origin'dir — sunucu opt-in yapmadığı sürece tarayıcı bunu engeller.

## Anahtar yanıt başlıkları

```text
Access-Control-Allow-Origin: https://app.example.com   ← who is allowed
Access-Control-Allow-Methods: GET, POST, PUT, DELETE   ← allowed methods
Access-Control-Allow-Headers: Content-Type, Authorization
Access-Control-Allow-Credentials: true                 ← allow cookies/auth
```

Sunucu bu başlıkları göndererek erişimi kontrol eder. Tarayıcı bunları okur ve sayfanın yanıtı görmesine izin verilip verilmeyeceğine karar verir.

## Express'te CORS'u işleme

```js
import cors from "cors";

// ❌ allow everything — convenient but insecure for credentialed/private APIs
app.use(cors());

// ✅ restrict to specific trusted origins
app.use(cors({
  origin: ["https://app.example.com", "http://localhost:3000"], // allowlist
  methods: ["GET", "POST", "PUT", "DELETE"],
  credentials: true, // allow cookies — REQUIRES a specific origin (not "*")
}));
```

`cors` middleware sizin için başlıkları ayarlar. Üretimde, **`origin` 'i `*` yerine bir allowlist ile sınırlandırın** — ve credentials'a izin vermenin (`credentials: true`) wildcard `*` ile uyumsuz olduğunu unutmayın.

## Preflight istekleri

```text
For "non-simple" requests (PUT/DELETE, custom headers, JSON), the browser first
sends an OPTIONS "preflight" request to check permissions. The cors middleware
handles responding to it automatically.
```

## Yaygın yanlış anlaşılma

```text
CORS is enforced by the BROWSER, not the server. It does NOT protect your API
from non-browser clients (curl, Postman, other servers) — those ignore CORS.
It only governs what browser JavaScript on other origins can do.
```

## Neden önemli

CORS, web geliştirmede en yaygın engellerden biridir — hemen hemen her front-end-to-API kurulumu buna çarpar (özellikle farklı portlarla yerel geliştirmede).

*Neden* var olduğunu (tarayıcı same-origin güvenliği), sunucunun başlıklar aracılığıyla nasıl opt-in yaptığını, bunu güvenli bir şekilde nasıl yapılandıracağını (allowlist origin'leri, dikkatli credential yönetimi), ve bunun *tarayıcı* mekanizması (API authorization değil) olduğu kritik gerçeğini anlamak, front-end'leri Node API'lerine doğru ve güvenli bir şekilde bağlamak için (engellenmeden veya sunucuyu over-expose etmeden) gereklidir.