首先理解跨域机制,通过在PHP中设置Access-Control-Allow-Origin等响应头支持CORS,并处理OPTIONS预检请求,确保浏览器能正常发起跨域请求。
接口跨域问题是前后端分离开发中常见的问题,尤其是在使用 PHP 作为后端语言时。当浏览器发起请求到不同源(协议、域名、端口任一不同)的服务器时,会触发同源策略限制,导致请求被阻止。CORS(跨域资源共享)是目前主流的解决方案。下面介绍如何在 PHP 中调试和配置 CORS,解决接口跨域访问问题。
理解跨域与预检请求
浏览器在发送非简单请求(如带自定义头、PUT/DELETE 方法、JSON 格式等)前,会先发送一个 OPTIONS 请求进行预检。服务器必须正确响应这个预检请求,后续的实际请求才能继续。
常见表现:
- 浏览器报错:Access to fetch at 'xxx' from origin 'yyy' has been blocked by CORS policy
- Network 面板看到 OPTIONS 请求返回非 200 状态
- 实际请求未发出或被拦截
PHP 后端配置 CORS 头部
在 PHP 接口入口文件(如 index.php 或公共函数中)添加必要的响应头即可支持跨域。
立即学习“PHP免费学习笔记(深入)”;
基础 CORS 配置示例:header("Access-Control-Allow-Origin: *");
header("Access-Control-Allow-Methods: GET, POST, PUT, DELETE, OPTIONS");
header("Access-Control-Allow-Headers: Content-Type, Authorization, X-Requested-With");
header("Access-Control-Max-Age: 86400"); // 预检结果缓存时间
说明:
- Allow-Origin:允许的源,* 表示任意,生产环境建议指定具体域名
- Allow-Methods:允许的 HTTP 方法
- Allow-Headers:前端实际使用的请求头,如 Content-Type、Authorization 等
- Max-Age:减少重复预检请求,提升性能
处理 OPTIONS 预检请求
需要单独响应 OPTIONS 请求并立即退出,避免继续执行业务逻辑。
完整处理代码片段:if ($_SERVER['REQUEST_METHOD'] === 'OPTIONS') {
header("HTTP/1.1 200 OK");
exit();
}
将此段放在接口逻辑之前,确保预检请求快速返回 200。
调试技巧与常见问题
实际开发中遇到跨域问题,可按以下方式排查:
- 打开浏览器开发者工具 Network 选项卡,查看请求类型是否为 OPTIONS
- 检查响应头是否包含 Access-Control-* 相关字段
- 确认 Allow-Headers 是否包含前端发送的自定义头(如 Authorization)
- 避免重复设置 header,防止“headers already sent”错误
- 部署环境注意 Nginx/Apache 是否覆盖了 PHP 设置的 header
Nginx 配置补充(推荐生产环境使用):
add_header Access-Control-Allow-Origin "https://your-frontend.com"; add_header Access-Control-Allow-Methods "GET, POST, OPTIONS"; add_header Access-Control-Allow-Headers "Content-Type, Authorization";
基本上就这些。关键是理解预检机制,正确返回响应头,并在开发阶段借助浏览器工具定位问题。
