爲什麼我可以從瀏覽器中創建REST API請求，但不能從Angular的資源中創建？

Question

問題是： 爲什麼我可以從瀏覽器/郵遞員/甚至Node.js（http.get方法）創建REST API請求，但不是來自Angular的資源？

錯誤消息的片段是：

XMLHttpRequest cannot load http://example-of-external-api-site.com 
Response to preflight request doesn't pass access control check: No 'Access-Control-Allow-Origin' header is present on the requested resource. 
Origin 'http://localhost' is therefore not allowed access. 

之前問這個問題，我嘗試看看CORS的定義。根據我的理解，我可以理解爲什麼它不允許我從Angular的資源中提出的請求，因爲它來自不同的域。但是，我的瀏覽器/郵遞員/ Node.js應用程序是不是來自不同的域？

請幫我回答這個問題，我真的不能明白爲什麼..

Answer 1

當一個請求從瀏覽器直接訪問某個網址時所做，你請求的URL的內容，而無需使用XMLHttpRequest 。

有兩種情況$http.get()：

當訪問一個URI，不承載你的AngularJS內容相同的域，通過在瀏覽器中呈現的內容中使用XMLHttpRequest Ajax調用，您必須提供與目標服務器上的白名單匹配的COR標頭。這是由於瀏覽器安全限制，以防止惡意的惡意攻擊，如跨站點腳本。

當訪問與託管AngularJS內容的域相同的域（通常通過相對路徑：/Api/1而不是http://domain.com/api/1）時，不需要COR白名單，因爲源域和目標域都是相同。

最後，當從節點調用url時，您正在向服務器併發調用發送服務器，因爲它沒有在瀏覽器中執行，所以它沒有相同的安全限制。