跨域资源共享(cors)是一种基于 http 头的机制,它允许浏览器向服务器发起跨域 http 请求。当一个 web 应用运行在某个域(例如 http://example.com)下,而它需要访问另一个域(例如 http://api.example.com)的资源时,就会发生跨域请求。出于安全考虑,浏览器通常会阻止此类请求,除非服务器明确允许。cors 就是服务器告知浏览器它允许哪些域、哪些 http 方法和哪些头进行跨域访问的机制。
CORS 请求通常分为两类:
在 Lumen 5.8 中手动实现 CORS 需要创建两个核心组件:一个服务提供者(Service Provider)用于处理 OPTIONS 预检请求,以及一个中间件(Middleware)用于添加 CORS 响应头。
预检请求是 CORS 机制的关键部分。当浏览器发送 OPTIONS 请求时,服务器需要返回一个 200 OK 状态码,并附带必要的 CORS 头,告知浏览器允许的跨域策略。
创建一个 App\Providers\CatchAllOptionsRequestsProvider.php 文件,内容如下:
<?php
namespace App\Providers;
use Illuminate\Support\ServiceProvider;
/**
* 如果传入请求是 OPTIONS 请求,
* 我们将为请求的路由注册一个处理器。
*/
class CatchAllOptionsRequestsProvider extends ServiceProvider
{
public function register()
{
$request = app('request');
// 检查当前请求是否为 OPTIONS 方法
if ($request->isMethod('OPTIONS')) {
// 为当前请求路径注册一个 OPTIONS 路由处理器
// 返回一个 200 OK 响应,不包含任何内容
app()->options($request->path(), function() {
return response('', 200);
});
}
}
}这个服务提供者的作用是,在 Lumen 应用程序启动时,如果检测到当前请求是 OPTIONS 方法,就会为该请求路径注册一个特殊的路由处理器。这个处理器会直接返回一个空的 200 OK 响应,以满足浏览器的预检要求。
实际的 CORS 响应头需要通过中间件添加到每个 HTTP 响应中。
创建一个 App\Http\Middleware\CorsMiddleware.php 文件,内容如下:
<?php
namespace App\Http\Middleware;
use Closure;
use Illuminate\Http\Request;
use Illuminate\Http\Response;
class CorsMiddleware
{
/**
* 处理传入的请求。
*
* @param \Illuminate\Http\Request $request
* @param \Closure $next
* @return \Illuminate\Http\Response
*/
public function handle(Request $request, Closure $next)
{
// 拦截 OPTIONS 请求并直接处理
if ($request->isMethod('OPTIONS')) {
$response = response('', 200);
} else {
// 将请求传递给下一个中间件或路由处理器
$response = $next($request);
}
// 添加 CORS 相关的响应头
// 允许的 HTTP 方法
$response->header('Access-Control-Allow-Methods', 'HEAD, GET, POST, PUT, PATCH, DELETE, OPTIONS');
// 允许的请求头,通常与请求中的 Access-Control-Request-Headers 保持一致
$response->header('Access-Control-Allow-Headers', $request->header('Access-Control-Request-Headers') . ', Content-Type, Authorization, X-Requested-With');
// 允许的来源,'*' 表示允许所有来源,生产环境中应限制为特定域名
$response->header('Access-Control-Allow-Origin', '*');
// 允许携带凭证(如 Cookies、HTTP 认证)
$response->header('Access-Control-Allow-Credentials', 'true');
// 预检请求的有效期,单位秒
$response->header('Access-Control-Max-Age', '86400');
return $response;
}
}这个中间件在请求被处理之前或之后,根据请求类型(OPTIONS 或其他)来添加必要的 CORS 响应头。
最后,需要在 Lumen 的 bootstrap/app.php 文件中注册这些组件。
// bootstrap/app.php // ... 其他 Lumen 初始化代码 ... // 注册 CORS 中间件 // 确保 $app 变量是 Laravel\Lumen\Application 的实例 $app->middleware([ App\Http\Middleware\CorsMiddleware::class ]); // 注册 OPTIONS 请求处理服务提供者 $app->register(App\Providers\CatchAllOptionsRequestsProvider::class); // ... 其他路由和服务提供者注册 ...
关于 Call to undefined method Illuminate\Foundation\Application::middleware() 错误的说明:
您遇到的错误 PHP Fatal error: Uncaught Error: Call to undefined method Illuminate\Foundation\Application::middleware() 表明 $app 变量的实例类型是 Illuminate\Foundation\Application,这是 Laravel 框架的应用程序容器,它确实没有 middleware() 方法。
然而,在标准的 Lumen 5.8 项目中,bootstrap/app.php 文件中的 $app 变量应该是 Laravel\Lumen\Application 的实例。Laravel\Lumen\Application 是 Lumen 自己的应用程序容器,它确实提供了 middleware() 方法来注册全局中间件,以及 register() 方法来注册服务提供者。
因此,这个错误通常意味着您的 bootstrap/app.php 文件可能不是一个标准的 Lumen 配置文件,或者 $app 变量在某个地方被意外地重新定义或覆盖为 Illuminate\Foundation\Application 的实例。要解决此问题,请确保您的 $app 变量在调用 middleware() 和 register() 方法时,确实是 Laravel\Lumen\Application 的实例。 在一个标准的 Lumen 应用程序中,上述代码片段是完全有效的。
尽管手动实现 CORS 是可行的,但为了代码的健壮性、可维护性和功能完整性,强烈建议使用成熟的第三方 CORS 包。这些包通常会处理各种边缘情况、复杂的配置选项以及性能优化,减少您自己实现时可能遇到的问题。
以下是两个支持 Lumen 的流行 CORS 包:
这是 Laravel 7.0 及更高版本默认包含的 CORS 包,也完全兼容 Lumen。
安装:
composer require fruitcake/laravel-cors
配置:
在 bootstrap/app.php 中注册服务提供者:
$app->register(Fruitcake\Cors\CorsServiceProvider::class);
在 bootstrap/app.php 中注册中间件:
$app->middleware([
Fruitcake\Cors\HandleCors::class,
// ... 其他中间件
]);或者,如果您只想在特定路由组或路由上应用 CORS,可以将其注册为路由中间件:
$app->routeMiddleware([
'cors' => Fruitcake\Cors\HandleCors::class,
]);
// 然后在路由中使用
// $app->group(['middleware' => 'cors'], function () use ($app) {
// $app->get('/', function () { /* ... */ });
// });发布配置文件(可选,但推荐用于自定义): 由于 Lumen 没有 vendor:publish 命令,您需要手动复制配置文件。通常,配置文件位于 vendor/fruitcake/laravel-cors/config/cors.php。将其复制到 Lumen 项目的 config/cors.php(如果 config 目录不存在,请创建它)。
config/cors.php 示例(您可以根据需要修改):
<?php
return [
'paths' => ['api/*', 'sanctum/csrf-cookie'],
'allowed_methods' => ['*'],
'allowed_origins' => ['*'], // 生产环境请指定具体域名
'allowed_origins_patterns' => [],
'allowed_headers' => ['*'],
'exposed_headers' => [],
'max_age' => 0,
'supports_credentials' => false,
];在 Lumen 中,您需要在 bootstrap/app.php 中加载此配置:
$app->configure('cors');这是另一个非常流行的 CORS 包,在 fruitcake/laravel-cors 成为 Laravel 默认选项之前被广泛使用。它同样支持 Lumen。
安装:
composer require spatie/laravel-cors
配置:
在 bootstrap/app.php 中注册服务提供者:
$app->register(Spatie\Cors\CorsServiceProvider::class);
在 bootstrap/app.php 中注册中间件:
$app->middleware([
Spatie\Cors\CorsMiddleware::class,
// ... 其他中间件
]);或者注册为路由中间件:
$app->routeMiddleware([
'cors' => Spatie\Cors\CorsMiddleware::class,
]);发布配置文件(手动复制): 将 vendor/spatie/laravel-cors/config/cors.php 复制到 Lumen 项目的 config/cors.php。
在 bootstrap/app.php 中加载配置:
$app->configure('cors');两个包都提供了详细的配置选项,允许您精确控制允许的来源、方法、头、是否支持凭证以及预检请求的缓存时间。
在 Lumen 5.8 中配置 CORS 是构建现代 Web 应用不可或缺的一部分。虽然可以通过手动编写服务提供者和中间件来实现,但这种方法需要开发者对 CORS 机制有深入理解,并处理所有细节。更推荐且更健壮的方式是利用 fruitcake/laravel-cors 或 spatie/laravel-cors 等成熟的第三方包,它们能够简化配置并提供更全面的功能。无论选择哪种方法,务必牢记 CORS 的安全最佳实践,特别是关于 Access-Control-Allow-Origin 的配置,以避免潜在的安全漏洞。正确配置 CORS 将确保您的前端应用能够安全、顺畅地与后端 API 进行交互。
以上就是Lumen 5.8 中 CORS 的配置与常见问题解决方案的详细内容,更多请关注php中文网其它相关文章!
每个人都需要一台速度更快、更稳定的 PC。随着时间的推移,垃圾文件、旧注册表数据和不必要的后台进程会占用资源并降低性能。幸运的是,许多工具可以让 Windows 保持平稳运行。
广告
收藏
收藏
收藏
Copyright 2014-2025 https://www.php.cn/ All Rights Reserved | php.cn | 湘ICP备2023035733号
455
