Q:1. CORS (Cross-Origin Resource Sharing) là gì?
A:CORS là cơ chế an toàn tích hợp trên trình duyệt ngăn các trang web từ nguồn gốc khác (Domain, Giao thức, Cổng khác nhau) truy xuất dữ liệu từ API của bạn, trừ khi máy chủ đích cấu hình rõ ràng các tiêu đề phản hồi (HTTP headers) cho phép nguồn đó truy cập.
Q:2. Tại sao cấu hình Access-Control-Allow-Origin: * lại không an toàn?
A:Đặt dấu sao (`*`) cho phép mọi trang web bên thứ ba bất kỳ gửi yêu cầu đọc dữ liệu API của bạn. Nếu API của bạn có chứa dữ liệu cá nhân hoặc các thông tin bảo mật, cấu hình này sẽ làm lộ dữ liệu cho kẻ xấu thực hiện các đòn tấn công khai thác.
Q:3. Làm sao cấu hình CORS an toàn nhất trên máy chủ Nginx hoặc Apache?
A:Bạn nên thiết lập máy chủ kiểm tra tiêu đề Origin gửi lên và chỉ phản hồi Access-Control-Allow-Origin khớp với danh sách trắng (Allowlist) tên miền của bạn. Để duy trì hạ tầng API ổn định, cấu hình header bảo mật tối ưu, bạn hãy thuê máy chủ riêng vật lý Dedicated Server Nhân Hòa hoặc nâng cấp lên cụm Cloud VPS Nhân Hòa.