Blog

Hasura GraphQL: CORS yapılandırması, admin secret kötüye kullanımı ve tarayıcılar için JWT rol iddiaları

HASURA_GRAPHQL_ADMIN_SECRET’i SPA’larda açmayın; x-hasura-* iddiaları ve sıkı Allow-Origin listeleriyle JWT kullanın.

Yayın: 2027-02-12Güncelleme: 2027-02-141 dk okuma

hasuragraphqlcors

Abonelikler

WebSocket bağlantıları HTTP yükseltme yolunda uyumlu CORS ve kimlik bilgili kimlik doğrulamada çerez politikaları ister.

Hasura’nın arkasındaki origin sunucularını korumak için abonelik fan-out’u kısıtlayın.

Hasura’nın çağırdığı webhook işleyicileri sunucudan sunucuya—CORS uygulanmaz; imzaları titiz doğrulayın.

Yinelenen yan etkiler olmadan yeniden denemeleri atlatmak için olay yüklerinde idempotent anahtarları yansıtın.