CORS og kald fra browseren
Kalder du API'et direkte fra browseren (frontend), er der et par ting at vide:
- Brug en offentlig nøgle, ikke en live-nøgle — en live-nøgle må aldrig ligge i kode, brugeren kan se.
- Lås den offentlige nøgle til dit domæne (origin-allowlist). Kald fra andre domæner afvises med 403.
- Får du en CORS-fejl i browseren, skyldes det typisk, at dit domæne ikke står på nøglens liste over tilladte domæner. Tilføj det under nøglens restriktioner.
Skal kaldet helst ikke ses af brugeren (fx følsomme opslag), så lav det fra din server med en live-nøgle i stedet.
Var dette nyttigt?
