使用 Postman 发送 HTTP 请求时几乎永远不会遇到跨域(CORS)问题,而浏览器里同样的请求却经常报 No 'Access-Control-Allow-Origin' header is present on the requested resource. 或类似错误。
根本原因就一句话:
CORS(跨域资源共享)是浏览器强加的安全机制,不是服务器的限制;Postman 根本不是浏览器,所以它完全不受这个限制。
下面详细解释清楚这个机制的区别:
1. 跨域问题真正发生在哪里?
| 环境 | 是否执行同源策略(Same-Origin Policy) | 是否强制检查 CORS 响应头 | 为什么 |
|---|---|---|---|
| 浏览器(Chrome、Safari、Edge 等) | 是(强制执行) | 是 | 浏览器为了防止恶意网站通过 JS 窃取用户在其他网站的数据(如 cookie、localStorage),所以对 XMLHttpRequest / fetch 等发起的跨域请求进行严格限制 |
| Postman(桌面客户端) | 否 | 否 | Postman 是一个独立的 HTTP 客户端程序,不是运行在浏览器沙箱里的 JavaScript |
| curl / wget / Python requests | 否 | 否 | 都是命令行 / 原生工具,不受浏览器引擎管辖 |
| Node.js / Java / Go 等后端代码 | 否 | 否 | 服务器到服务器的请求本来就没有同源策略 |
- 同源策略(SOP) + CORS 是浏览器专属的安全沙箱规则。
- 服务器本身并不关心请求来自 Postman 还是浏览器,它只会看请求头(如 Origin)和自己的 CORS 配置来决定是否返回
Access-Control-Allow-Origin等头。
2. 浏览器里为什么会报错,而 Postman 不报?
浏览器发送跨域请求时会发生以下步骤(以 fetch 或 XMLHttpRequest 为例):
- 浏览器先检查是否同源(协议+域名+端口完全一致)。
- 如果不同源,且是非简单请求(带自定义 header、PUT/DELETE 等),浏览器会先发一个 OPTIONS 预检请求。
- 服务器必须在响应中返回:
Access-Control-Allow-Origin: *或具体域名Access-Control-Allow-Methods: GET, POST, ...Access-Control-Allow-Headers: Content-Type, Authorization, ...
- 如果服务器没返回这些头 → 浏览器直接在控制台拦截请求,请求根本不会显示在 Network 面板的真实响应里(这就是很多人看到的灰色请求)。
- 即使服务器返回了 200,浏览器也会因为缺少 CORS 头而拒绝把响应体交给 JavaScript 代码。
而 Postman:
- 直接用自己的 HTTP 引擎(基于 Electron / 原生网络栈)发请求。
- 不带任何浏览器沙箱限制。
- 不会发 OPTIONS 预检(除非你手动设置)。
- 不会检查响应头里有没有
Access-Control-*。 - 只要服务器返回响应(哪怕 403/500),Postman 都会老老实实把 body 显示给你。
3. 实际开发中的常见误区与澄清
误区 1:以为“Postman 能通就说明后端没问题”
→ 错!后端 CORS 配置只对浏览器生效,对 Postman/curl 永远生效。
真正的测试跨域是否配置正确,必须在浏览器环境里验证(比如直接在控制台 fetch,或用前端页面发起请求)。
误区 2:Postman 里开了 “Interceptor” 或用了代理就能模拟浏览器
→ Postman 的 Chrome 扩展 Interceptor 可以捕获浏览器请求,但 Postman 本身发请求还是绕过 CORS 的。
误区 3:服务器返回了 CORS 头,但浏览器还是报错
→ 常见原因:* + credentials: include 不兼容、Origin 为 null、预检没通过等。
小结(一句话记住)
跨域(CORS)问题是浏览器为了保护用户而设置的“门卫”,Postman 根本不是从浏览器大门进来的,它是从“后门”直接敲服务器的,所以门卫拦不住它。
所以在开发中,永远不要只用 Postman 验证接口,要同时在浏览器里测一遍,尤其是涉及 cookie、Authorization、自定义 header 的接口。
你现在遇到的是浏览器报跨域,但 Postman 正常的情况吗?需要我帮你分析具体的 CORS 配置怎么写(Spring Boot / Nginx / Node 等)?
