Chủ đề này đã được hỏi một vài lần, nhưng tôi vẫn không hiểu điều gì đó:
Khi tôi đọc câu trả lời về
Không có tiêu đề 'Access-Control-Allow-Origin'
vấn đề, nó nói một khung cảnh nên được đặt trên máy chủ yêu cầu để cho phép tên miền chéo: add_header 'Access-Control-Allow-Origin' '*';.
Tuy nhiên, vui lòng cho tôi biết tại sao khi hỏi từ người đưa thư (là khách hàng), nó hoạt động như một sự quyến rũ và tôi nhận được phản hồi từ máy chủ được yêu cầu?
Cảm ơn bạn
Câu trả lời:
Như @Musa nhận xét nó, có vẻ như lý do là:
Postman không quan tâm đến SOP, nó là một công cụ dành cho nhà phát triển không phải là một trình duyệt
Nhân tiện, đây là một tiện ích mở rộng chrome để làm cho nó hoạt động trên trình duyệt của bạn ( tiện ích mở rộng này dành cho chrome, nhưng bạn có thể tìm thấy cho FF hoặc Safari).
Kiểm tra tại đây nếu bạn muốn tìm hiểu thêm về Cross-Origin và tại sao nó hoạt động cho các tiện ích mở rộng.
Nếu bạn sử dụng một trang web và bạn điền vào biểu mẫu để gửi thông tin (ví dụ: số an sinh xã hội của bạn), bạn muốn chắc chắn rằng thông tin đang được gửi đến trang web mà bạn nghĩ rằng nó đang được gửi đến. Vì vậy, các trình duyệt được xây dựng để nói, theo mặc định, 'Không gửi thông tin đến một miền khác với miền đang được truy cập).
Cuối cùng điều đó đã trở nên quá hạn chế nhưng ý tưởng mặc định vẫn còn trong các trình duyệt. Đừng để trang web gửi thông tin đến một miền khác. Nhưng đây là tất cả kiểm tra trình duyệt. Chrome và firefox, v.v. có mã tích hợp cho biết 'trước khi gửi yêu cầu này, chúng tôi sẽ kiểm tra xem đích đến có khớp với trang đang được truy cập hay không'.
Postman (hoặc CURL trên dòng cmd) không có những séc tích hợp sẵn. Bạn đang tương tác thủ công với một trang web để bạn có toàn quyền kiểm soát những gì bạn đang gửi.
CORS(Chia sẻ tài nguyên nhiều nguồn gốc) và SOP(Chính sách cùng nguồn gốc) là các cấu hình phía máy chủ mà máy khách quyết định thực thi hay không .
Liên quan đến khách hàng
CSRFtấn công.Mặc dù tất cả các câu trả lời ở đây là một lời giải thích thực sự tốt về cors là gì nhưng câu trả lời trực tiếp cho câu hỏi của bạn sẽ là do sự khác biệt sau đây của người đưa thư và trình duyệt.
Trình duyệt: Gửi OPTIONSlệnh gọi để kiểm tra loại máy chủ và nhận các tiêu đề trước khi gửi bất kỳ yêu cầu mới nào đến điểm cuối API. Nơi nó kiểm tra Access-Control-Allow-Origin. Việc tính đến Access-Control-Allow-Origintiêu đề này chỉ cần chỉ định tất cả NGUỒN GỐC CHÉO được phép, mặc dù theo mặc định trình duyệt sẽ chỉ cho phép cùng một nguồn gốc.
Postman: Gửi trực tiếp GET, POST, PUT, DELETE, vv theo yêu cầu mà không cần kiểm tra những gì loại máy chủ là gì và nhận được tiêu đề Access-Control-Allow-Originbằng cách sử dụng OPTIONScuộc gọi đến máy chủ.
Nói chung, Postman được sử dụng để gỡ lỗi và được sử dụng trong giai đoạn phát triển. Nhưng trong trường hợp bạn muốn chặn nó ngay cả từ người đưa thư, hãy thử điều này.
const referrer_domain = "[enter-the-domain-name-of-the-referrer]"
//check for the referrer domain
app.all('/*', function(req, res, next) {
if(req.headers.referer.indexOf(referrer_domain) == -1){
res.send('Invalid Request')
}
next();
});
app.jsnếu bạn sử dụng node app.jsđể chạy máy chủ.
Sử dụng plugin của trình duyệt / chrome postman để kiểm tra CORS / SOP giống như một trang web. Sử dụng ứng dụng máy tính để bàn thay thế để tránh các điều khiển này.