はい、ブラウザからです。分かりにくかったらすみません。これはすべて別のWebアプリから発生しており、ユーザーはログインしておらず、Discourseのiframeも使用していません。リクエストは、APIキーをリクエストパラメータとして渡すブラウザから発信されます。
APIキーに関する私の理解では、ユーザーのAPIキーを取得すれば、コンソール/ターミナル(curlまたは同等物)からでも、どこからでもユーザーの代わりに操作できるということです。もうCORSは関係ありません。
はい、ブラウザからです。分かりにくかったらすみません。これはすべて別のWebアプリから発生しており、ユーザーはログインしておらず、Discourseのiframeも使用していません。リクエストは、APIキーをリクエストパラメータとして渡すブラウザから発信されます。
APIキーに関する私の理解では、ユーザーのAPIキーを取得すれば、コンソール/ターミナル(curlまたは同等物)からでも、どこからでもユーザーの代わりに操作できるということです。もうCORSは関係ありません。