使用Postman工具/ cURL /在Chrome控制台中测试CORS

access-control-allow-origin → null

对于GET或OPTIONS请求

http://localhost:4000/api/accounts?Host=http://localhost:4200/&X-Origin=http://jquery.com

使用Origin而不是X-Origin也不会改变结果.
同时,如果我像这样使用cURL

curl -H "Origin: http://jquery.com" --verbose http://localhost:4000/api/accounts

我确实可以访问API

< access-control-allow-origin: http://jquery.com

我还使用http和chrome Javascript控制台打开了jQuery网站,以便执行此代码：

$.get("http://localhost:4000/api/accounts").then(function(val){console.log(val);})

它打印了API返回的JSON对象.

现在我的问题如下：

>如何使用Postman正确测试CORS？我注意到,当在服务器上设置allow origin选项时,* Postman确实会返回

access-control-allow-origin→*

只有当我明确允许一组来源时才会出现上述问题：

`origin: ["https://www.getpostman.com/","http://localhost:4200/","http://jquery.com"]`

>我注意到允许http://jquery.com/而不是http://jquery.com不允许来源为Origin = http：//jquery.com的请求？
>我注意到即使请求来自非授权来源,cURL也会返回资源的内容(在本例中为JSON数据).这是正常的还是意味着我忘了在服务器上配置暴露这些数据的东西？