CORS с POSTMAN

Этот вопрос был задан пару раз, но я до сих пор ничего не понимаю:

Когда я читаю ответы о

Нет заголовка «Access-Control-Allow-Origin»

что на запрашиваемом сервере должна быть установлена ​​настройка, чтобы разрешить перекрестный домен: add_header 'Access-Control-Allow-Origin' '*'; ,

Но, пожалуйста, скажите мне, почему, когда вы спрашиваете почтальона (который является клиентом), он работает как шарм, и у меня есть ответ от запрошенного сервера?

спасибо

    Как замечает @Musa, кажется, что причина в том, что:

    Почтальон не заботится о SOP, это инструмент разработчика, а не браузер

    Кстати, это расширение хром , чтобы заставить его работать в вашем браузере (этот для хром, но вы можете найти либо для FF, либо для Safari).

    Проверьте здесь, если вы хотите узнать больше о Cross-Origin и почему он работает для расширений.

    Если вы используете веб-сайт и заполняете форму для отправки информации (например, номер вашего социального страхования), вы хотите быть уверенным, что информация отправляется на сайт, на который, по вашему мнению, отправляется. Таким образом, браузеры были созданы, чтобы сказать по умолчанию: «Не отправлять информацию в домен, отличный от посещаемого домена».

    В конечном счете это стало слишком ограничивающим, но идея по умолчанию все еще остается в браузерах. Не позволяйте веб-странице отправлять информацию в другой домен. Но это все проверки браузера. Chrome и firefox и т. Д. Создали код, который гласит: «Перед отправкой этого запроса мы будем проверять, совпадает ли пункт назначения с посещенной страницей».

    Почтальон (или CURL на линии cmd) не имеет встроенных проверок. Вы вручную взаимодействуете с сайтом, чтобы иметь полный контроль над тем, что вы отправляете.

    SOP – это конфигурация на стороне сервера, которую клиенты решают или не выполняют. Большинство браузеров применяют его для предотвращения проблем, связанных с CSRF. Большинство инструментов разработчика не заботятся об этом.

    Давайте будем гением компьютера.