Postman получает доступ к конечной точке POST API Django rest без токена CSRF. Почему защита CSRF не работает и возвращает ошибку 403?
У меня есть простой API, написанный с помощью фреймворка Django REST, с включенной защитой CSRF. В другом приложении того же проекта у меня есть front-end, который отображает CSRF-токен на html-странице при генерации, и передает его в качестве заголовка в AJAX-запросе. Без передачи этого заголовка в моем JS-файле запрос возвращает браузеру ошибку 403 - как и ожидалось.
Почему то же самое не происходит, когда я делаю POST-запрос к тому же URL в postman? Я получаю данные от API без отправки CSRF-токена в качестве заголовка в postman.
Я запускаю свой проект Django с опцией local runserver на моем localhost, и я запускаю postman в той же сети. Является ли то, что запросы приходят с одного и того же сетевого адреса, причиной того, что CSRF не нужен?