CORS策略是否会阻止来自非浏览器请求的资源访问？

Curl和其他非浏览器http客户机必须忽略访问控制允许源文件标题。查看如何使用cURL调试CORS请求？

如果域名不在我的白名单中，我可以通过抛出一个错误，并通过动态设置请求的来源，成功地阻止像邮递员这样的服务器在我受CORS保护的API路由中向我发送请求。

这是我的邮递员，我在其中设置了所有标题，如访问-控制-允许-起源：

请求被阻止从Postman服务器和返回一个500内部服务器错误后，错误抛出在我的实时服务器，你可以看到这里：

将Express/Node.js与cors2.8.5版一起使用，我的代码如下所示：

const whitelistDomains = [
    'http://awesomesite123.com',
    'https://localhost:3000',
];

const corsOptions = {
  origin: function (origin, callback) {
    if (whitelistDomains.includes(origin)) {
      callback(null, true)
    } else {
      callback(new Error('Not allowed by CORS'))
    }
  },
  optionsSuccessStatus: 200, // For legacy browser support
  methods: ['GET', 'PUT', 'POST', 'DELETE'],
}

app.use(cors(corsOptions));

但是，这是否会阻止来自CURL或其他本地应用程序/Web服务器（即通过PHP编写和运行的请求）的Http请求成功地从该资源检索数据？

不，CORS配置不会阻止非浏览器内容成功检索您的资源。

同源策略仅由浏览器强制执行。它不是由服务器强制执行的。（CORS是放松同源策略的一种方式。）如果请求中缺少任何CORS详细信息，服务器会以某种方式阻止请求或拒绝发送响应，这并不是问题所在。

相反，当您在服务器上配置CORS支持时，服务器所做的不同只是发送Access Control Allow Origin头和其他CORS响应头。

该协议的工作方式是，无论您在服务器端进行什么CORS配置，所有客户端甚至浏览器都会像通常一样继续从服务器获得响应。但区别在于，curl或其他本机应用程序或后端服务器端编程环境（如PHP）不会阻止您的客户端代码访问响应，如果它不包含访问控制允许源响应头。但浏览器会。

具体来说，即使您在浏览器开发工具中看到来自前端JavaScript代码的跨源请求失败的错误，您仍然能够在浏览器开发工具中看到响应。

但是仅仅因为您的浏览器可以看到响应并不意味着浏览器会将其暴露给您的前端JavaScript代码。浏览器只有在请求到达的服务器选择允许请求时，才会将跨源请求的响应公开给在特定源运行的前端代码，方法是使用允许该源的访问控制允许源报头进行响应。

但是浏览器是唯一能做到这一点的客户端。浏览器是实现同源策略和CORS协议的唯一客户端curl或其他本机应用程序或服务器端运行时（如PHP）发出的HTTP客户端请求不实现CORS协议，因此无法通过在服务器端执行任何CORS配置来阻止来自它们的请求。

因此，如果您想阻止非浏览器客户端对资源的请求，则需要使用CORS配置以外的其他方法。