我的节点上的REST API允许http://serverpath/login中的帖子没有cookie上的用户会话,允许登录。
在邮递员上发帖,没有身份证明,简单的帖子与身体:{"用户:"用户","密码":"用户"登录,在会话中设置cookie,让我做任何没有问题的电话。
但是当我在浏览器上尝试相同时,我不允许使用通配符(*)。 我知道我不能使用带有通配符的凭证。但为什么它适用于邮递员?
答案 0 :(得分:3)
Postman是Chrome扩展程序,而不是网页,因此它对跨源请求有不同的限制。
在Chrome开发者网站上查看Cross-Origin XMLHttpRequest for Extensions:
"常规网页可以使用XMLHttpRequest对象从远程服务器发送和接收数据,但它们受相同原始策略的限制。扩展不是那么有限。扩展可以与其来源之外的远程服务器通信,只要它首先请求跨源权限。"
答案 1 :(得分:0)
也许邮递员没有检查任何安全性!如果您在浏览器中禁用了安全性(Chrome),那么它也可以使用!
如何在Chrome中禁用它:您必须使用以下标志启动chrome.exe:--disable-web-security --user-data-dir