পোষ্টম্যানের সাথে কর্স

95

এই বিষয়টিকে কয়েকবার জিজ্ঞাসা করা হয়েছিল, তবে আমি এখনও কিছু বুঝতে পারি না:

আমি যখন উত্তর পড়ি

কোনও 'অ্যাক্সেস-নিয়ন্ত্রণ-মঞ্জুরি-উত্স' শিরোনাম নেই

ইস্যু করে, এটি ক্রস ডোমেনকে অনুমতি দেওয়ার জন্য অনুরোধ করা সার্ভারে একটি সেটিং সেট করা উচিত: বলেছে add_header 'Access-Control-Allow-Origin' '*';

তবে, দয়া করে আমাকে বলুন কেন পোস্টম্যানের কাছ থেকে জিজ্ঞাসা করার সময় (যা ক্লায়েন্ট), এটি একটি কবজির মতো কাজ করছে এবং অনুরোধ করা সার্ভারের কাছ থেকে আমার প্রতিক্রিয়া রয়েছে?

ধন্যবাদ

http  cors  postman 
ইসরাগাব
সূত্র
25
পোস্টম্যান এসওপি সম্পর্কে চিন্তা করে না, এটি একটি ব্রাউজার নয় ডিভ সরঞ্জাম।
মুসা
4
@ মুসা ওকে, সুতরাং এটি যদি ব্রাউজার (ক্লায়েন্ট) সমস্যা হয় তবে কেন আমাকে সার্ভারে কিছু সংশোধন করতে হবে?
ইস্রাগাব
8
এটি এমন একটি সার্ভার যা ব্রাউজারকে বলে যে এটির ঠিক আছে ( সিওআরএস ) বা কোনও নির্দিষ্ট সাইটের জন্য তার সামগ্রী অ্যাক্সেস করার জন্য নয় এবং ব্রাউজারটি এটি সম্মান করে
মুসা
আমার ঠিক একই প্রশ্ন আছে। এই পদ্ধতিতে ইলেক্ট্রনের ক্ষেত্রে কীভাবে কেউ তা করতে পারে।
mluis
10
এখানে আসল প্রশ্নটি হল যে যেখানে ORGIN অনুরোধটি প্রথমে প্রেরণ করা হয় সেখানে ব্রাউজারের আচরণ নকল করতে পোষ্টম্যানকে কীভাবে কনফিগার করা যায়। সংক্ষেপে আপনি কীভাবে পোষ্টম্যানকে ব্রাউজারের মতো আচরণ করবেন তা আমাদের এপিআইগুলি সঠিকভাবে কনফিগার করা হয়েছে তা নিশ্চিত করার জন্য আমাদের পরীক্ষা করা দরকার। সুতরাং যদি এপিআই পোস্টম্যান থেকে কাজ করে এবং এটি ব্রাউজারের CORS এর কারণে ভেঙে যায়। এর অর্থ এটিআইপি অকেজো।
ক্রিস লাভ

উত্তর:

51

@ মুসা যেমন মন্তব্য করেছেন, মনে হচ্ছে কারণটি হ'ল:

পোস্টম্যান এসওপি সম্পর্কে চিন্তা করে না, এটি একটি ব্রাউজারের নয় একটি ডিভাইস

এটি আপনার ব্রাউজারে এটি কাজ করার জন্য ক্রোম এক্সটেনশানটি এখানে রয়েছে (এটি ক্রোমের জন্য, তবে আপনি এফএফ বা সাফারির জন্য খুঁজে পেতে পারেন)।

আপনি ক্রস-অরিজিন সম্পর্কে আরও কেন জানতে চান এবং এটি কেন এক্সটেনশনের জন্য কাজ করছে তা এখানে পরীক্ষা করে দেখুন ।

ইসরাগাব
সূত্র
6
তারপরে পোস্টম্যানের মতো সরঞ্জাম থেকে অ্যাক্সেস পাওয়া আমার এপিআই রুটগুলি কীভাবে রক্ষা করব? উদাহরণস্বরূপ, এমন একটি API যা ক্যাপচা যাচাইকরণের প্রয়োজন requires তবে যদি পোস্টম্যান থেকে সরাসরি অ্যাক্সেস করা হয়, ক্যাপচা যাচাইকরণ বাইপাস করা হয়
সাদমান মুহিব সাম্যো
4
এক্সটেনশনের লিঙ্কটি নষ্ট হয়ে গেছে।
জয়য়ারজো
একই প্রশ্ন, এটি ছাড়াও কীভাবে একটি এক্সটেনশানটি একক উত্স নীতি ভঙ্গ করতে পারে?
ইভান কর্টেস রোমেরো
ক্রোম-এক্সটেনশনের লিঙ্কটি ভেঙে গেছে
ওহাদআর
46

আপনি যদি কোনও ওয়েবসাইট ব্যবহার করেন এবং তথ্য জমা দেওয়ার জন্য আপনি একটি ফর্ম পূরণ করেন (উদাহরণস্বরূপ আপনার সামাজিক সুরক্ষা নম্বর) আপনি নিশ্চিত হতে চান যে আপনার কাছে যে সাইটটি প্রেরণ করা হচ্ছে বলে মনে করছেন সে তথ্যটি প্রেরণ করা হচ্ছে। সুতরাং ব্রাউজারগুলি ডিফল্টরূপে বলতে গেলে নির্মিত হয়েছিল, 'ডোমেনটি পরিদর্শন করা ছাড়া অন্য কোনও ডোমেইনে তথ্য প্রেরণ করবেন না)।

অবশেষে এটি খুব সীমাবদ্ধ হয়ে উঠল কিন্তু ডিফল্ট ধারণাটি এখনও ব্রাউজারগুলিতে রয়েছে। ওয়েব পৃষ্ঠাকে অন্য কোনও ডোমেনে তথ্য প্রেরণ করতে দেবেন না। তবে এটি সমস্ত ব্রাউজার চেকিং। ক্রোম এবং ফায়ারফক্স ইত্যাদি কোড তৈরি করেছে যা বলে যে 'এই অনুরোধটি প্রেরণের আগে, আমরা পরীক্ষা করতে যাচ্ছি যে পৃষ্ঠাটি দেখার সাথে মিলিত হয়েছে'।

পোস্টম্যান (বা সিএমএল লাইনে সিআরএল) চেকগুলিতে অন্তর্নির্মিত নেই। আপনি ম্যানুয়ালি কোনও সাইটের সাথে কথোপকথন করছেন যাতে আপনি যা পাঠাচ্ছেন তার উপর আপনার সম্পূর্ণ নিয়ন্ত্রণ থাকে।

ব্যবহারকারী 3724317
সূত্র
4
আরও সঠিকভাবে পোস্টম্যান একটি এক্সএমএলএইচটিপি অনুরোধ প্রেরণ করে না যা চেক হবে তবে একটি শীর্ষ স্তরের নেটওয়ার্ক কল (যেমন একটি নতুন ব্রাউজার ট্যাবে আপনার URL টি খোলার মতো) তাই
কারাগারে থাকা
4
ব্রাউজারটি যাচাই করছে না যে আপনার সাইটটি অন্য কোনও ডোমেনে ডেটা প্রেরণ করছে না: অন্য ডোমেন সাইটটি যদি সমস্ত উত্সের অনুমতি দেয় তবে আপনার ব্রাউজারটি এটির সাথে 100% ঠিক আছে। এটি বিপরীত, এটি অন্য ডোমেনটিকে সুরক্ষিত করে যদি আপনার সাইট কর্তৃপক্ষ অনুমোদিত না হয়ে তার সংস্থানগুলি ব্যবহার করে।
XouDo
40

CORS(ক্রস-অরিজিন রিসোর্স ভাগ করে নেওয়া) এবং SOP(সম-উত্স নীতি) হ'ল সার্ভার-সাইড কনফিগারেশন যা ক্লায়েন্টরা প্রয়োগ বা না করার সিদ্ধান্ত নেয়

ক্লায়েন্টদের সাথে সম্পর্কিত

  • আক্রমণ সম্পর্কিত সমস্যাগুলি রোধ করতে বেশিরভাগ ব্রাউজারগুলি এটি প্রয়োগ করে CSRF
  • সর্বাধিক বিকাশের সরঞ্জামগুলি এটিকে যত্ন করে না।
ফিলিপ রুস
সূত্র
14

যদিও এখানে সমস্ত উত্তরগুলি কর্স কী তা সম্পর্কে একটি সত্যই ভাল ব্যাখ্যা তবে আপনার প্রশ্নের সরাসরি উত্তর নীচের পার্থক্যজনিত পোস্টম্যান এবং ব্রাউজারের কারণে।

ব্রাউজার: OPTIONSসার্ভারের প্রকারটি পরীক্ষা করতে এবং এপিআই এন্ডপয়েন্টে কোনও নতুন অনুরোধ প্রেরণের আগে শিরোনামগুলি পাওয়ার জন্য কল পাঠায় । যেখানে এটি চেক করে Access-Control-Allow-Origin। এটি আমলে নেওয়াAccess-Control-Allow-Originএটি শিরোনামে নেওয়া কেবল নির্দিষ্ট করে যা সমস্ত ক্রস ORIGINS অনুমোদিত, যদিও ডিফল্ট ব্রাউজার দ্বারা কেবল একই উত্সের অনুমতি দেবে।

পিয়ন: প্রেরণ সরাসরি GET, POST, PUT, DELETEপরীক্ষণ এবং হেডার পেয়ে সার্ভার কি ধরনের ছাড়া ইত্যাদি অনুরোধ Access-Control-Allow-Originব্যবহার করে OPTIONSসার্ভারের সাথে কল।

Habষভ বাতরা
সূত্র
"সার্ভারের ধরণটি পরীক্ষা করতে ওপিআর শেষ পয়েন্টে কোনও নতুন অনুরোধ প্রেরণের আগে শিরোনামগুলি পাওয়ার জন্য অপশন কল পাঠায়" - এটি সত্য নয়। এটি কেবল অ-সরল অনুরোধগুলির জন্য এটি করে।
কোয়ান্টিন
2

সাধারণত, পোস্টম্যান ডিবাগিংয়ের জন্য ব্যবহৃত হয় এবং উন্নয়নের পর্যায়ে ব্যবহৃত হয়। তবে আপনি যদি পোস্টম্যান থেকে এটি ব্লক করতে চান তবে এটি চেষ্টা করে দেখুন।

    const referrer_domain = "[enter-the-domain-name-of-the-referrer]"
    //check for the referrer domain
    app.all('/*', function(req, res, next) {
      if(req.headers.referer.indexOf(referrer_domain) == -1){
        res.send('Invalid Request')
      }

      next();
    });
ভরথ পাব্বা
সূত্র
রাউটার দিয়ে আপনার ফাইলে কোড যুক্ত করুন। আপনার যদি "রাউটার" যুক্ত কোনও ফাইল থাকে তবে ফাইলটির শীর্ষে কোডটি যুক্ত করুন। আপনার যেখানে একই ফাইল রয়েছে: কনস্ট এক্সপ্রেস = প্রয়োজনীয় ('এক্সপ্রেস') কনস্ট অ্যাপ = এক্সপ্রেস (); কনস্ট কর্স = প্রয়োজনীয় ('কর্স');
সামেসিনা
আপনি app.jsযদি node app.jsসার্ভার চালাতে ব্যবহার করেন তবে এটি সম্পাদনা করুন ।
ভরথ পাব্বা
এটি কি আপনার সার্ভারকে ডিডো থেকে রক্ষা করতে পারে?
সুপারউবারডুপার
-1

ওয়েবসাইটের মতো সিওআরএস / এসওপি চেক করতে ব্রাউজার / ক্রোম পোস্টম্যান প্লাগইন ব্যবহার করুন। এই নিয়ন্ত্রণগুলি এড়াতে ডেস্কটপ অ্যাপ্লিকেশনটি ব্যবহার করুন।

গিলারমো এলিসন
সূত্র
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.