آپ FastAPI میں CORS کو کیسے کنفیگر کرتے ہیں؟

Question

Accepted Answer

**CORS** (Cross-Origin Resource Sharing) ایک براؤزر سیکیورٹی میکانزم ہے جو کنٹرول کرتا ہے کہ ایک **origin** سے ویب صفحہ آپ کے API کو مختلف origin پر کال کر سکتا ہے یا نہیں۔ FastAPI اسے بلٹ ان **`CORSMiddleware`** کے ساتھ کنفیگر کرتا ہے۔ جب مختلف ڈومین/پورٹ پر frontend آپ کے API کو کال کرے تو آپ کو CORS کا سامنا ہوگا۔

## مسئلہ جو CORS حل کرتا ہے

```text
A React app at http://localhost:3000 calling an API at http://localhost:8000 is
CROSS-ORIGIN (different port). The BROWSER blocks the response unless the API
sends CORS headers permitting that origin.
(origin = scheme + host + port)
```

## CORSMiddleware کو کنفیگر کرنا

```python
from fastapi.middleware.cors import CORSMiddleware

app.add_middleware(
    CORSMiddleware,
    allow_origins=["https://app.example.com", "http://localhost:3000"],  # ALLOWLIST of origins
    allow_credentials=True,         # allow cookies/auth (requires specific origins, not "*")
    allow_methods=["*"],             # or ["GET", "POST", ...]
    allow_headers=["*"],
)
```

مڈل ویئر ضروری CORS response headers شامل کرتا ہے، براؤزر کو بتاتے ہوئے کہ کون سے origins، methods، اور headers کی اجازت ہے۔ براؤزر ان قوانین کو نافذ کرتا ہے۔

## سیکیورٹی: origins کو محدود کریں ("*" استعمال نہ کریں)

```python
# ❌ allowing all origins — convenient but insecure for credentialed/private APIs
allow_origins=["*"]
# ✅ restrict to your known frontend origins (an allowlist)
allow_origins=["https://app.example.com"]
# NOTE: allow_credentials=True is INCOMPATIBLE with allow_origins=["*"]
```

پروڈکشن میں، **`allow_origins` کو allowlist میں محدود کریں** بجائے `*` کے۔ اضافی طور پر، credentials (cookies/auth) کی اجازت دینے کے لیے مخصوص origins کی ضرورت ہے — wildcard کو credentials کے ساتھ اجازت نہیں ہے۔

## ایک اہم غلط فہمی

```text
CORS is enforced by the BROWSER, not the server. It does NOT protect your API from
non-browser clients (curl, Postman, other servers) — those ignore CORS entirely.
CORS only governs what browser JavaScript from other origins may do.
```

## اہمیت کیوں ہے

CORS ویب ڈیولپمنٹ میں سب سے عام رکاوٹوں میں سے ایک ہے — تقریباً ہر frontend-سے-API سیٹ اپ کو اس کا سامنا کرنا پڑتا ہے (خاص طور پر مقامی ڈیولپمنٹ میں مختلف ports کے ساتھ، اور پروڈکشن میں علیحدہ frontend ڈومین کے ساتھ)، لہذا FastAPI کے `CORSMiddleware` کے ساتھ اسے کنفیگر کرنا جانتے ہوئے عملی، بار بار ضروری علم ہے۔

یہ سمجھنا ضروری ہے کہ *یہ کیوں موجود ہے* (براؤزر same-origin سیکیورٹی)، سرور response headers کے ذریعے کیسے opt in کرتا ہے، اور اسے کیسے کنفیگر کریں (allowed origins، methods، headers، credentials) تاکہ frontends کو FastAPI APIs سے بغیر requests blocked ہوئے جوڑ سکیں۔

یکساں اہم یہ ہے کہ اسے **محفوظ طریقے سے** کنفیگر کریں — `allow_origins` کو مخصوص allowlist میں محدود کریں بجائے permissive `*` کے (اور یہ سمجھتے ہوئے کہ credentials wildcard کے ساتھ مطابقت نہیں رکھتے) — اور یہ اہم غلط فہمی سمجھیں کہ **CORS ایک براؤزر میکانزم ہے، API authorization نہیں** (یہ non-browser clients سے محفوظ نہیں کرتا)۔

CORS کو صحیح اور محفوظ طریقے سے سیٹ اپ کرنا جانتے ہوئے کسی بھی FastAPI API کے لیے روزمرہ کا اہم علم ہے جو ویب frontend کے ذریعے استعمال ہوتا ہے۔