PCS開発チーム

「JavaScriptからのAPI呼び出しが上手くいかない。Postmanからは成功する」という質問も最近多いけど前提が全く違うのでPostmanから成功してもコードが間違ってない保証にはならない。

PostmanはサーバーサイドやPC/モバイルアプリからのリクエストと同じ。CORSは関係ない。クッキー・セッションは使える。
フロントからのAPI呼び出しが失敗する原因はCORSが8割、セッションが1割、コードの間違いが1割程度なんだからPostmanから成功しても原因の特定ができない。
「CORSによって制限されている」とか「使えないセッションを使おうとしている」とかはPostmanでは分かりにくい。

Postmanでフロントからのリクエストをある程度再現するにはクッキーを無効にしてHeadersにOriginを追加。