Blog

Webhook uçları ve tarayıcı CORS: Stripe tarzı geri çağrılar neden sunucudan sunucuya

Sağlayıcılar imzalı olayları URL’nize POST eder; tarayıcı bu uçları doğrudan çağırmaz, dolayısıyla CORS ilgisizdir.

Yayın: 2026-03-14Güncelleme: 2026-03-161 dk okuma

webhookssecuritycors

Geliştirici hataları

SPA fetch’i webhook URL’sine yönlendirmek tasarım gereği CORS’ta başarısız olur; kullanıcı eylemleri için normal REST kullanın.

Stripe CLI tüneli ile yerel test tarayıcı CORS’unu atlar çünkü CLI web origin değildir.

Ortam başına webhook sırlarını döndürün; tarayıcı için olan API anahtarlarını yeniden kullanmayın.

Sağlayıcılar sabit aralık yayınladığında imza doğrulamaya IP allowlist ekler.