CORS (совместное использование ресурсов)

CORS управляет тем, какие сторонние сайты могут читать ответы вашего API из браузера. По умолчанию браузер блокирует кросс-доменные чтения; сервер ослабляет это заголовком Access-Control-Allow-Origin. Слишком широкая настройка (особенно * вместе с куками) опасна.

Как применять: указывайте конкретный список доверенных origin, не используйте * при credentials, разрешайте только нужные методы и заголовки.

# Опасно: разрешено всем и с кредами
# headers["Access-Control-Allow-Origin"] = "*"

# Безопасно: явный белый список origin
ALLOWED = {"https://app.example.com"}
origin = request.headers.get("Origin")
if origin in ALLOWED:
    response.headers["Access-Control-Allow-Origin"] = origin