Как проверить CORS с мулом

Я хочу, чтобы запросы CORS не принимались приложением. Я просто хотел бы сделать что-то вроде отправить запрос, настроенный как запрос CORS в Почтальон

Вы имеете в виду, что хотите заблокировать перекрестные запросы только от веб-приложений, работающих в браузерах?

Учитывая, что браузеры являются единственными инструментами, которые обеспечивают ограничения CORS, и они делают это только для запросов из кода, выполняемого в реальных веб-приложениях, а не для запросов от расширений, таких как Postman, которые не связаны политикой того же происхождения, что и веб-приложения. - тогда вы не сможете использовать CORS для блокировки запросов от Postman или кода, не запущенного из веб-приложения в браузере.

Приложение было настроено для этого, но как лучше доказать, что это работает?

Подтвердите, что служба не отправляет Access-Control-Allow-Origin заголовок ответа, которым он никогда не будет, если только он явно не настроен для этого или он построен с использованием некоторой серверной среды / среды программирования, которая добавляет Access-Control-Allow-Origin по умолчанию.

Но поскольку браузеры являются единственными инструментами, которые когда-либо фактически блокируют запросы между источниками из-за отсутствия Access-Control-Allow-OriginВы действительно можете проверить блокировку только в веб-приложении.

В противном случае вы можете по крайней мере протестировать вне браузера, чтобы увидеть, какие заголовки ответа возвращаются сервером, на который отправляются запросы. Главное в этом случае - убедиться, что запрос Origin заголовок (некоторые серверы отправляют только Access-Control-Allow-Origin если запрос включает Origin заголовок - потому что браузеры являются единственными инструментами, которые автоматически отправляют Origin,

Итак, используя curl например, вы хотите сделать это:

curl -H "Origin: https://example.com" https://service.to.test/