Verhalten sich Postbote nicht als Browser?

Question

Meine REST-API auf Knoten ermöglicht einen Beitrag in http://serverpath/login ohne die Benutzersitzung auf Cookies, was die Anmeldung ermöglicht.

Ein Post auf Postman, keine Auth, einfacher Beitrag mit Körper: {"Benutzer:" Benutzer "," Passwort ":" Benutzer "}, macht die Anmeldung, setzen Sie die Cookies auf Sitzung und lassen Sie mich irgendwelche Anrufe tätigen

Aber wenn ich versuche, das gleiche auf Browser, bekomme ich keine Cors mit Wildcard (*). Ich bin mir bewusst, ich kann Cors mit Anmeldeinformationen mit Platzhalter nicht verwenden. Aber warum funktioniert es in Postbote?

Answer 1

Postman ist eine Chrome-Erweiterung, nicht eine Web-Seite, so hat es verschiedene Einschränkungen bei den Ursprungsanforderungen.

Siehe Cross-Origin XMLHttpR equest für Erweiterungen auf der Chrome-Entwickler-Website:

• https://developer.chrome.com/extensions/xhr

„Regular Webseite können das XMLHttpRequest-Objekt zum Senden und Empfangen von Daten von entfernten Servern, aber sie sind von der gleichen Herkunft Politik begrenzt . Erweiterungen sind nicht so begrenzt. Eine Erweiterung kann mit Remote-Servern außerhalb ihres Ursprungs kommunizieren, solange sie zuerst ursprungsübergreifende Berechtigungen anfordert. "

Answer 2

vielleicht überprüft der Postbote keine Sicherheit! Wenn Sie die Sicherheit in Ihrem Browser (Chrome) dann deaktivieren es funktioniert auch

kurz, wie es in Chrom zu deaktivieren: Sie chrome.exe mit diesen Fahnen zu starten haben: --disable-web-security --user-data-dir