CORS con POSTMAN

A este tema le han pedido un par de veces, pero todavía no entiendo algo:

Cuando leo respuestas sobre

Sin encabezado ‘Access-Control-Allow-Origin’

problema, dice que se debe establecer una configuración en el servidor solicitado para permitir el dominio cruzado: add_header 'Access-Control-Allow-Origin' '*'; .

Pero, por favor dime por qué cuando pregunto a un cartero (que es un cliente), funciona como un amuleto y tengo una respuesta del servidor solicitado.

Gracias

Como @Musa lo comenta, parece que la razón es que:

A Postman no le importa el SOP, es una herramienta de desarrollo, no un navegador

Por cierto, aquí hay una extensión de Chrome para que funcione en tu navegador (esta es para Chrome, pero puedes encontrarla para FF o Safari).

Consulte aquí si desea obtener más información acerca de Cross-Origin y por qué está funcionando para extensiones.

Si usa un sitio web y completa un formulario para enviar información (su número de seguro social, por ejemplo), quiere asegurarse de que la información se envíe al sitio donde cree que se está enviando. Por lo tanto, los navegadores se crearon para decir, de forma predeterminada, “No enviar información a un dominio que no sea el que se está visitando”.

Eventualmente, eso se volvió demasiado limitante, pero la idea predeterminada aún permanece en los navegadores. No permita que la página web envíe información a un dominio diferente. Pero esto es todo comprobación del navegador. Chrome y Firefox, etc. han incorporado un código que dice ‘antes de enviar esta solicitud, vamos a verificar que el destino coincida con la página que se está visitando’.

El cartero (o CURL en la línea del cmd) no tiene esos controles incorporados. Estás interactuando manualmente con un sitio para que tengas control total sobre lo que estás enviando.

SOP es una configuración del lado del servidor que los clientes deciden o no aplicar. La mayoría de los navegadores lo hacen cumplir para evitar problemas relacionados con CSRF. La mayoría de las herramientas de desarrollo no se preocupan por eso.