Почему get запрос в браузере работает в а в node.js нет?

Question

[mr jeery]

Я пытаюсь получить ответ от запроса

axios.get('https://testnet.bitmex.com/api/v1/trade/bucketed?binSize=1d&partial=false&symbol=XBT&count=100&reverse=true')
      .then(response => response.json())
      .then(json => console.log('json',json))

Код ошибки 403.

GET https://testnet.bitmex.com/api/v1/trade/bucketed?binSize=1d&partial=false&symbol=XBT&count=100&reverse=true 403 ()

Failed to load https://testnet.bitmex.com/api/v1/trade/bucketed?binSize=1d&partial=false&symbol=XBT&count=100&reverse=true: No 'Access-Control-Allow-Origin' header is present on the requested resource. Origin 'http://localhost:3000' is therefore not allowed access. The response had HTTP status code 403.

Если же вставить в бразуер https://testnet.bitmex.com/api/v1/trade/bucketed?b...
то все работает. Почему ?

Нужно добавить какие-то заголовки к axios ? Но какие ?

Answer 1

[Антон Спирин]

А вы текст ошибки попробуйте вдумчиво прочитать:

No 'Access-Control-Allow-Origin' header is present on the requested resource.
Origin 'http://localhost:3000' is therefore not allowed access.
The response had HTTP status code 403.

Research link

Comments

[mr jeery]

@rockond404,

axios.get('https://testnet.bitmex.com/api/v1/trade/bucketed?binSize=1d&partial=false&symbol=XBT&count=100&reverse=true',{
        	headers: {
        	  'Access-Control-Allow-Origin': '*',
            'Access-Control-Allow-Methods': "GET, POST, PUT, DELETE",
            'Access-Control-Allow-Headers': '*',
        	}})

Response to preflight request doesn't pass access control check: No 'Access-Control-Allow-Origin' header is present on the requested resource. Origin 'http://localhost:3000' is therefore not allowed access. The response had HTTP status code 403.

Что не так ?
Я застрял с этой ошибкой, можете помочь ?

[Макс]

mr jeery, вы из клиента не можете влиять на значение этого заголовка, он конфигурируется на сервере

[Сергей delphinpro]

Что не так ?

То, что заголовки эти целевой сервер должен отправлять =)
Если он разрешает к себе обращаться.

Answer 2

[Abcdefgk]

Когда делается запрос от браузера - это запрос от страницы (в браузере), которую отдал ему (браузеру) этот же сервер.
Когда делается запрос "со стороны" - это запрос "неизвестно от кого". Сервер не принимает запросы "неизвестно от кого" - если ему специально не разрешить принимать запросы "неизвестно от кого".
В целом это называется CSRF (англ. Сross Site Request Forgery — "межсайтовая подделка запроса")