API_KEY在请求中添加标头会触发您的浏览器首先发送CORS预检OPTIONS请求。除了定义为CORS安全列出的请求标头的标头之外,添加到请求中的 任何
标头都将触发您的浏览器发送CORS预检OPTIONS请求。
我不能肯定地说,但是您看到的403似乎是服务器响应该OPTIONS请求,并说它不希望收到OPTIONS请求并且不允许它们。
您没有从Postman获得此信息的原因是,与浏览器引擎不同,Postman不实现CORS,因此它不发送OPTIONS请求。(Postman不在浏览器为Web应用程序实施的相同来源的Web安全模型下运行。)
因此,要使您的客户端应用程序按预期的方式工作以对该服务器的脚本式跨域访问,必须将服务器配置为以正确的方式响应CORS预检OPTIONS请求。
