CORS Allow All: Biar ga ada error CORS buat FE, padahal kan bahaya...
2025-07-12
pro-kontra-developer๐ข DISCLAIMER
"Ga semua error CORS harus diselesaikan dengan Allow All. Kadang kita cuma butuh komunikasi antar tim."
๐ฌ Squad Chat Group
si tester
Mas ini API-nya bisa diakses dari mana aja loh. Bahkan dari localhost.
09.13
si paling praktis
Iya biar gampang develop, jadi gw allow all aja dulu.
09.14
si paling ribet
Lo tau ga itu kebuka buat siapa pun? Cross-origin bisa nyedot data, bro!
09.15
si tester
Gak sengaja keakses dari eksternal loh. Gawat ini mah...
09.15
๐ข Tim Pro: Kenapa Allow All CORS Dianggap Solusi?
- Gampang untuk development frontend โ no more CORS error!
- Nggak perlu nentuin origin satu-satu
- Cocok untuk rapid prototyping atau API internal
- Kadang client minta akses cepat dari domain mana pun
๐ด Tim Kontra: Bahaya CORS Allow All
- Security Risk: API bisa diakses dari situs manapun โ rawan data theft
- Data Exposure: Web yang nggak kamu kenal bisa kirim request seenaknya
- Credential Leak: Jika
credentials: true, token/cookie bisa ikut terkirim - False Sense of Safety: FE jalan, tapi tanpa kontrol akses yang jelas
๐งช Analisa & Sudut Pandang Secure Coding
CORS itu bukan pengaman utama โ tapi filter request dari origin berbeda. Kalau kamu buka ke semua origin:
- Kamu membiarkan web luar berpura-pura jadi klien sah
- Kalau API kamu nggak pakai otentikasi ketat, bisa disalahgunakan
- Bahkan dengan token: browser tetap bisa ngirim request atas nama user
๐จ Bad Practices
Konfigurasi Access-Control-Allow-Origin: * + Access-Control-Allow-Credentials: true itu kombinasi mematikan.
Browser akan blok, tapi attacker bisa eksploit API lain yang gak strict.
Ts
// โ Contoh di Express.js
app.use((req, res, next) => {
res.header("Access-Control-Allow-Origin", "*");
res.header("Access-Control-Allow-Credentials", "true");
next();
});๐ก๏ธ Secure Best Practices
CORS itu kayak whitelist. Gunakan dengan hati-hati. Buat daftar origin sah, dan hindari wildcard jika ada token/cookie.
Ts
// โ
Contoh whitelist origin
const allowedOrigins = ["https://myfrontend.com", "https://admin.harscode.dev"];
app.use((req, res, next) => {
const origin = req.headers.origin;
if (allowedOrigins.includes(origin)) {
res.header("Access-Control-Allow-Origin", origin);
res.header("Access-Control-Allow-Credentials", "true");
}
next();
});โ ๏ธ Allow All itu shortcut, bukan solusi. Hati-hati kalau shortcut-nya justru ngelewatin security gate.
โ Takeaway Developer
Kadang kita terlalu fokus biar FE gak error. Tapi jangan sampai solusi instan jadi jebakan keamanan jangka panjang.
- Gunakan origin whitelist
- Hati-hati saat
credentials: true - Komunikasikan kebutuhan FE dan API sejak awal
- Review ulang konfigurasi CORS sebelum naik production
| Situasi | Rekomendasi |
|---|---|
| Dev/test environment | Boleh pakai wildcard, tapi nonaktifkan di production |
| Production API | Whitelist origin + validasi credential |
| Public API | Buka hanya GET, tanpa credential |
โน๏ธ CORS error emang ngeselin. Tapi solusi jangka pendek nggak boleh jadi kompromi keamanan jangka panjang.
๐ค Diskusi & Sharing Pengalaman
Lo tim Allow All biar cepet atau Strict Origin biar aman?
Pernah ga nemu API kebuka buat siapa aja โ bahkan dari domain nggak jelas?
Yuk cerita. Kita bukan mau judging. Kita mau saling aware. ๐ง
Konten Terkait :