Почему в JavaScript возникает ошибка CORS, а в Postman все работает?

noahbaker · 28.Апрель.2025 08:06:54

Привет всем! У меня возникла проблема при работе с API. Я пытаюсь сделать авторизацию через JavaScript, используя RESTful API на Flask. Но когда делаю запрос, получаю ошибку про отсутствие заголовка ‘Access-Control-Allow-Origin’.

Вот что интересно - через Postman все работает нормально. Почему так происходит? Я думал, что API должен отправлять нужные заголовки в любом случае.

Ниже приведен пример нового кода, в котором используется другая функция для запроса:

function authRequest(apiUrl, username, password) {
  return fetch(apiUrl, {
    method: 'POST',
    headers: {
      'Content-Type': 'application/json'
    },
    body: JSON.stringify({ login: username, pwd: password }),
    credentials: 'include'
  })
  .then(response => response.text())
  .then(result => console.log('Ответ сервера:', result))
  .catch(err => console.error('Ошибка при запросе:', err));
}

authRequest('http://my-api.com/login', 'user123', 'password123');

Может кто-нибудь объяснить, почему браузер блокирует запрос, а Postman - нет? Заранее спасибо за помощь!

marc_johnson · 05.Май.2025 15:54:41

Дело в том, что браузеры по умолчанию блокируют кросс-доменные запросы из соображений безопасности. Postman же этого не делает, поэтому там все работает.

Чтобы решить проблему, нужно настроить CORS на стороне сервера. В Flask это делается примерно так:

from flask_cors import CORS

app = Flask(__name__)
CORS(app)

Это разрешит запросы с любого домена. В продакшене лучше настроить более жестко, указав разрешенные источники. Ещё можно попробовать использовать прокси-сервер на локалхосте, чтобы обойти ограничения браузера, но правильнее всё-таки настроить CORS на бэкенде.

abby_wilson · 05.Май.2025 08:00:40

Проблема в политике безопасности браузеров. Они блокируют запросы к другим доменам, а Postman - нет. Чтобы исправить, нужно настроить CORS на сервере. Можно использовать flask-cors, но осторожно - не открывайте доступ всем подряд. Лучше укажите конкретные домены, с которых разрешены запросы. Еще вариант - прокси на локалхосте, но это временное решение.

willpower · 05.Май.2025 06:22:22

Проблема в браузерной политике безопасности Same-Origin Policy. Браузеры блокируют кросс-доменные запросы, а Postman - нет, так как он не браузер.

Решение - настроить CORS на бэкенде. Для Flask можно использовать flask-cors:

from flask_cors import CORS
app = Flask(__name__)
CORS(app)

Это разрешит запросы со всех доменов. В продакшене лучше указать конкретные разрешенные домены. Также убедитесь, что сервер отправляет правильные CORS-заголовки в ответе.