この主題は数回尋ねられました、しかし私はまだ何かを理解していません:
私がについての答えを読んだとき
'Access-Control-Allow-Origin'ヘッダーなし
問題は、クロスドメインを許可するために、要求されたサーバーに設定を設定する必要があることを示していますadd_header 'Access-Control-Allow-Origin' '*';。
しかし、なぜ郵便配達員(クライアント)に尋ねると、それは魅力のように機能していて、要求されたサーバーから応答がありますか?
ありがとうございました
回答:
@Musaがコメントしているように、その理由は次のようです。
PostmanはSOPを気にしません、それはブラウザではなく開発ツールです
ちなみに、ブラウザで動作させるためのChrome拡張機能があります(これはChrome用ですが、FFまたはSafariのいずれかで見つけることができます)。
Cross-Originと、拡張機能で機能する理由について詳しく知りたい場合は、こちらを確認してください。
Webサイトを使用していて、フォームに入力して情報(社会保障番号など)を送信する場合は、送信先と思われるサイトに情報が送信されていることを確認する必要があります。そのため、ブラウザは、デフォルトで「アクセスしているドメイン以外のドメインに情報を送信しないでください」と言うように構築されています。
最終的にはそれが制限されすぎましたが、デフォルトのアイデアはまだブラウザに残っています。Webページに別のドメインに情報を送信させないでください。しかし、これはすべてブラウザチェックです。ChromeやFirefoxなどには、「このリクエストを送信する前に、宛先がアクセスしているページと一致することを確認する」というコードが組み込まれています。
Postman(またはcmd行のCURL)には、これらの組み込みチェックがありません。手動でサイトを操作しているため、送信する内容を完全に制御できます。
ここでのすべての答えはcorsが何であるかについての本当に良い説明ですが、あなたの質問への直接の答えは、郵便配達員とブラウザの次の違いのためでしょう。
ブラウザ:OPTIONSAPIエンドポイントに新しいリクエストを送信する前に、サーバータイプを確認し、ヘッダーを取得するための呼び出しを送信します。をチェックする場所Access-Control-Allow-Origin。これを考慮に入れるAccess-Control-Allow-Originヘッダーは、すべてのCROSS ORIGINSが許可されることを指定するだけですが、デフォルトではブラウザーは同じオリジンのみを許可します。
郵便集配人:直接送信しGET、POST、PUT、DELETEで、ヘッダを取得し、サーバーの種類をチェックせずに等の要求をAccess-Control-Allow-Origin使用してOPTIONS、サーバーへの呼び出しを。
通常、Postmanはデバッグに使用され、開発フェーズで使用されます。しかし、郵便配達員からでもそれをブロックしたい場合は、これを試してください。
const referrer_domain = "[enter-the-domain-name-of-the-referrer]"
//check for the referrer domain
app.all('/*', function(req, res, next) {
if(req.headers.referer.indexOf(referrer_domain) == -1){
res.send('Invalid Request')
}
next();
});
app.js使用node app.jsする場合は、編集してください。