CORS com POSTMAN

Question 1

Este assunto foi perguntado algumas vezes, mas ainda não entendi uma coisa:

Quando leio respostas sobre

Nenhum cabeçalho 'Access-Control-Allow-Origin'

questão, diz a configuração deve ser definida no servidor solicitado, a fim de permitir cross domain: add_header 'Access-Control-Allow-Origin' '*';.

Mas, por favor me diga por que ao perguntar ao carteiro (que é um cliente), Está funcionando perfeitamente e eu tenho uma resposta do servidor solicitado?

Obrigado

Question 2

Como @Musa comenta, parece que o motivo é:

Postman não se preocupa com SOP, é uma ferramenta de desenvolvimento, não um navegador

A propósito, aqui está uma extensão do Chrome para fazê-la funcionar no seu navegador (esta é para o Chrome, mas você pode encontrar para FF ou Safari).

Verifique aqui se quiser saber mais sobre o Cross-Origin e por que ele está funcionando para extensões.

Question 3

Se você usa um site e preenche um formulário para enviar informações (seu número de previdência social, por exemplo), quer ter certeza de que as informações estão sendo enviadas para o site para o qual você pensa que estão sendo enviadas. Portanto, os navegadores foram criados para dizer, por padrão, 'Não envie informações para um domínio diferente daquele que está sendo visitado).

Eventualmente, isso se tornou muito limitado, mas a ideia padrão ainda permanece nos navegadores. Não deixe a página da web enviar informações para um domínio diferente. Mas tudo isso é verificação do navegador. Chrome e firefox, etc, possuem um código embutido que diz 'antes de enviar esta solicitação, vamos verificar se o destino corresponde à página que está sendo visitada'.

Postman (ou CURL na linha cmd) não tem esses cheques integrados. Você está interagindo manualmente com um site para ter controle total sobre o que está enviando.

Question 4

CORS(Compartilhamento de recursos de origem cruzada) e SOP(Política de mesma origem) são configurações do lado do servidor que os clientes decidem aplicar ou não .

Relacionado a clientes

A maioria dos navegadores o impõe para evitar problemas relacionados a CSRFataques.
A maioria das ferramentas de desenvolvimento não se preocupa com isso.

Question 5

Embora todas as respostas aqui sejam uma explicação realmente boa do que é cors, a resposta direta à sua pergunta seria por causa das seguintes diferenças entre o carteiro e o navegador.

Navegador: envia uma OPTIONSchamada para verificar o tipo de servidor e obter os cabeçalhos antes de enviar qualquer nova solicitação ao endpoint da API. Onde ele verifica Access-Control-Allow-Origin. Levar isso em consideração Access-Control-Allow-Originapenas especifica quais CROSS ORIGINS são permitidas, embora por padrão o navegador permita apenas a mesma origem.

Postman: Envia direta GET, POST, PUT, DELETEpedido etc. sem verificar qual o tipo de servidor é e recebendo o cabeçalho Access-Control-Allow-Originusando OPTIONSchamada para o servidor.

Question 6

Geralmente, Postman usado para depuração e usado na fase de desenvolvimento. Mas caso você queira bloquear até mesmo do carteiro, tente isso.

    const referrer_domain = "[enter-the-domain-name-of-the-referrer]"
    //check for the referrer domain
    app.all('/*', function(req, res, next) {
      if(req.headers.referer.indexOf(referrer_domain) == -1){
        res.send('Invalid Request')
      }

      next();
    });

Question 7

Use o plugin do carteiro do navegador / cromo para verificar o CORS / SOP como um site. Use o aplicativo da área de trabalho para evitar esses controles.

Answer 1

96

Este assunto foi perguntado algumas vezes, mas ainda não entendi uma coisa:

Quando leio respostas sobre

Nenhum cabeçalho 'Access-Control-Allow-Origin'

questão, diz a configuração deve ser definida no servidor solicitado, a fim de permitir cross domain: add_header 'Access-Control-Allow-Origin' '*';.

Mas, por favor me diga por que ao perguntar ao carteiro (que é um cliente), Está funcionando perfeitamente e eu tenho uma resposta do servidor solicitado?

Obrigado

http cors postman IsraGab
fonte

25

Postman não se preocupa com SOP, ele é uma ferramenta de desenvolvimento, não um navegador.

Musa

2

@Musa Ok, então se é um problema do navegador (cliente), por que devo modificar algo no servidor?

IsraGab

8

É o servidor que informa ao navegador se está tudo bem ( CORS ) ou não para um determinado site acessar seu conteúdo e o navegador o considera

Musa

Eu tenho exatamente a mesma pergunta. Como fazer isso programaticamente, neste caso no elétron.

mluis

10

A verdadeira questão aqui é como configurar o POSTMAN para simular o comportamento do navegador onde uma solicitação ORIGIN é enviada primeiro. Em essência, como fazer o POSTMAN se comportar como um navegador, porque precisamos testar para ter certeza de que nossas APIs estão configuradas corretamente. E daí se a API funcionar no POSTMAN e quebrar devido ao CORS do navegador. Isso significa que a API é inútil.

Chris Love

Answer 2

25

Postman não se preocupa com SOP, ele é uma ferramenta de desenvolvimento, não um navegador.

Musa

Answer 3

2

@Musa Ok, então se é um problema do navegador (cliente), por que devo modificar algo no servidor?

IsraGab

Answer 4

8

É o servidor que informa ao navegador se está tudo bem ( CORS ) ou não para um determinado site acessar seu conteúdo e o navegador o considera

Musa

Answer 5

Eu tenho exatamente a mesma pergunta. Como fazer isso programaticamente, neste caso no elétron.

mluis

Answer 6

10

A verdadeira questão aqui é como configurar o POSTMAN para simular o comportamento do navegador onde uma solicitação ORIGIN é enviada primeiro. Em essência, como fazer o POSTMAN se comportar como um navegador, porque precisamos testar para ter certeza de que nossas APIs estão configuradas corretamente. E daí se a API funcionar no POSTMAN e quebrar devido ao CORS do navegador. Isso significa que a API é inútil.

Chris Love

Answer 7

52

Como @Musa comenta, parece que o motivo é:

Postman não se preocupa com SOP, é uma ferramenta de desenvolvimento, não um navegador

A propósito, aqui está uma extensão do Chrome para fazê-la funcionar no seu navegador (esta é para o Chrome, mas você pode encontrar para FF ou Safari).

Verifique aqui se quiser saber mais sobre o Cross-Origin e por que ele está funcionando para extensões.

IsraGab
fonte

6

Então, como faço para proteger minhas rotas de API sendo acessadas de ferramentas como Postman? Por exemplo, uma API que requer uma verificação de captcha. Mas se acessado diretamente do Postman, a verificação do captcha é ignorada

Sadman Muhib Samyo

5

O link para a extensão está quebrado.

Jayarjo,

A mesma pergunta, além disso, como uma extensão pode fazer quebrar a política de origem única?

Iván Cortés Romero

o link para a extensão do Chrome está quebrado

OhadR

Answer 8

6

Então, como faço para proteger minhas rotas de API sendo acessadas de ferramentas como Postman? Por exemplo, uma API que requer uma verificação de captcha. Mas se acessado diretamente do Postman, a verificação do captcha é ignorada

Sadman Muhib Samyo

Answer 9

5

O link para a extensão está quebrado.

Jayarjo,

Answer 10

A mesma pergunta, além disso, como uma extensão pode fazer quebrar a política de origem única?

Iván Cortés Romero

Answer 11

o link para a extensão do Chrome está quebrado

OhadR

Answer 12

Se você usa um site e preenche um formulário para enviar informações (seu número de previdência social, por exemplo), quer ter certeza de que as informações estão sendo enviadas para o site para o qual você pensa que estão sendo enviadas. Portanto, os navegadores foram criados para dizer, por padrão, 'Não envie informações para um domínio diferente daquele que está sendo visitado).

Eventualmente, isso se tornou muito limitado, mas a ideia padrão ainda permanece nos navegadores. Não deixe a página da web enviar informações para um domínio diferente. Mas tudo isso é verificação do navegador. Chrome e firefox, etc, possuem um código embutido que diz 'antes de enviar esta solicitação, vamos verificar se o destino corresponde à página que está sendo visitada'.

Postman (ou CURL na linha cmd) não tem esses cheques integrados. Você está interagindo manualmente com um site para ter controle total sobre o que está enviando.

Answer 13

2

Mais precisamente, o postman não envia uma solicitação XmlHttp que seria verificada, mas uma chamada de rede de nível superior (como você abrir o URL em uma nova guia do navegador), portanto, não é iniciada mesmo quando em extensão

tgkprog

Answer 14

1

O navegador não está verificando se seu site não está enviando dados para outro domínio: se o site do outro domínio permitir todas as origens, seu navegador está 100% ok com isso. É o contrário, está protegendo o outro domínio, caso seu site usasse seus recursos sem ser autorizado.

XouDo

Answer 15

CORS(Compartilhamento de recursos de origem cruzada) e SOP(Política de mesma origem) são configurações do lado do servidor que os clientes decidem aplicar ou não .

Relacionado a clientes

A maioria dos navegadores o impõe para evitar problemas relacionados a CSRFataques.
A maioria das ferramentas de desenvolvimento não se preocupa com isso.

Answer 16

Embora todas as respostas aqui sejam uma explicação realmente boa do que é cors, a resposta direta à sua pergunta seria por causa das seguintes diferenças entre o carteiro e o navegador.

Navegador: envia uma OPTIONSchamada para verificar o tipo de servidor e obter os cabeçalhos antes de enviar qualquer nova solicitação ao endpoint da API. Onde ele verifica Access-Control-Allow-Origin. Levar isso em consideração Access-Control-Allow-Originapenas especifica quais CROSS ORIGINS são permitidas, embora por padrão o navegador permita apenas a mesma origem.

Postman: Envia direta GET, POST, PUT, DELETEpedido etc. sem verificar qual o tipo de servidor é e recebendo o cabeçalho Access-Control-Allow-Originusando OPTIONSchamada para o servidor.

Answer 17

"Envia a chamada OPTIONS para verificar o tipo de servidor e obter os cabeçalhos antes de enviar qualquer nova solicitação ao endpoint da API" - Isso não é verdade. Ele só faz isso para solicitações não simples.

Quentin

Answer 18

2

Geralmente, Postman usado para depuração e usado na fase de desenvolvimento. Mas caso você queira bloquear até mesmo do carteiro, tente isso.

    const referrer_domain = "[enter-the-domain-name-of-the-referrer]"
    //check for the referrer domain
    app.all('/*', function(req, res, next) {
      if(req.headers.referer.indexOf(referrer_domain) == -1){
        res.send('Invalid Request')
      }

      next();
    });

Bharath Pabba
fonte

adicione o código em seu arquivo com o roteador. Se você tiver um arquivo com "roteadores", adicione o código na parte superior do arquivo. O mesmo arquivo onde você tem: const express = require ('express') const app = express (); const cors = require ('cors');

samceena

edite-o app.jsse você usar node app.jspara executar o servidor.

Bharath Pabba de

isso pode proteger seu servidor de ddos?

SuperUberDuper

Answer 19

adicione o código em seu arquivo com o roteador. Se você tiver um arquivo com "roteadores", adicione o código na parte superior do arquivo. O mesmo arquivo onde você tem: const express = require ('express') const app = express (); const cors = require ('cors');

samceena

Answer 20

edite-o app.jsse você usar node app.jspara executar o servidor.

Bharath Pabba de

Answer 21

isso pode proteger seu servidor de ddos?

SuperUberDuper

Answer 22

-1

Use o plugin do carteiro do navegador / cromo para verificar o CORS / SOP como um site. Use o aplicativo da área de trabalho para evitar esses controles.

Guillermo Ellison
fonte

CORS com POSTMAN

Respostas: