使用PHP处理跨域请求需设置CORS响应头,允许指定源、方法和请求头;2. 需正确响应OPTIONS预检请求并退出脚本;3. 生产环境应校验Origin白名单并支持凭证时禁用通配符;4. 可结合请求类型动态调整响应头以提升安全与性能。
在使用 PHP 开发 Web API 时,前端跨域请求是常见问题。浏览器出于安全考虑实施同源策略,限制了不同源之间的资源请求。CORS(Cross-Origin Resource Sharing)是 W3C 标准解决方案,通过设置 HTTP 响应头来允许跨域访问。PHP 可以灵活控制响应头,实现完整的 CORS 支持。
最简单的跨域支持是对所有来源开放读取权限。适用于公开接口,但需注意安全性:
示例代码:
<?php
header("Access-Control-Allow-Origin: *");
header("Access-Control-Allow-Methods: GET, POST, PUT, DELETE, OPTIONS");
header("Access-Control-Allow-Headers: Content-Type, Authorization");
?>
说明:
立即学习“PHP免费学习笔记(深入)”;
* 表示接受所有域,若需身份验证(如携带 Cookie),则不能使用通配符,必须明确指定域名,例如 https://example.com。Authorization、X-Requested-With 等。某些请求会触发浏览器发送 OPTIONS 预检请求,判断服务器是否允许实际请求。这类请求包括:
Authorization)text/plain、application/x-www-form-urlencoded、multipart/form-data
服务器必须正确响应 OPTIONS 请求,否则实际请求不会发出。
完整预检处理逻辑:
<?php
if ($_SERVER['REQUEST_METHOD'] === 'OPTIONS') {
// 返回预检响应并立即终止脚本
header("Access-Control-Allow-Origin: https://your-frontend.com");
header("Access-Control-Allow-Methods: GET, POST, PUT, DELETE, PATCH, OPTIONS");
header("Access-Control-Allow-Headers: Content-Type, Authorization, X-API-Key");
header("Access-Control-Max-Age: 86400"); // 缓存预检结果24小时
exit; // 预检请求无需继续执行后续逻辑
}
?>
关键点:
REQUEST_METHOD 是否为 OPTIONS。exit; 阻止主业务逻辑执行。生产环境通常需要限制特定来源,并支持用户凭证(如 Cookie 或 Authorization 头)。
安全做法:白名单校验来源
<?php
$allowedOrigins = [
'https://example.com',
'https://admin.example.com',
'http://localhost:3000'
];
$origin = $_SERVER['HTTP_ORIGIN'] ?? '';
if (in_array($origin, $allowedOrigins)) {
header("Access-Control-Allow-Origin: $origin");
header("Access-Control-Allow-Credentials: true"); // 允许携带凭证
}
// 其他 CORS 头
header("Access-Control-Allow-Methods: GET, POST, PUT, DELETE, OPTIONS");
header("Access-Control-Allow-Headers: Content-Type, Authorization, X-API-Key");
?>
说明:
立即学习“PHP免费学习笔记(深入)”;
Origin 才返回对应头,避免通配符与凭证共用导致的安全错误。withCredentials = true 发送 Cookie。credentials: 'include'(fetch)或 withCredentials: true(XMLHttpRequest)。可结合请求方法和内容类型做差异化处理:
<?php
$origin = $_SERVER['HTTP_ORIGIN'] ?? '';
$method = $_SERVER['REQUEST_METHOD'];
// 定义合法来源
$trusted = ['https://a.com', 'https://b.com'];
if (in_array($origin, $trusted)) {
header("Access-Control-Allow-Origin: $origin");
if ($method === 'OPTIONS') {
header("Access-Control-Allow-Methods: POST, GET, OPTIONS");
header("Access-Control-Allow-Headers: Content-Type, Authorization");
header("Access-Control-Max-Age: 600");
exit;
}
}
// 实际请求处理(如 POST)
if ($method === 'POST') {
$input = json_decode(file_get_contents('php://input'), true);
// 处理业务逻辑...
echo json_encode(['status' => 'success']);
}
?>
常见注意事项:
Origin,防止反射式 XSS 风险。Allow-Credentials。基本上就这些。掌握预检机制与响应头组合,就能应对各种跨域场景。不复杂但容易忽略细节。
以上就是php如何实现跨域资源共享cors全方案_php不同请求类型预检与实际响应头设置的详细内容,更多请关注php中文网其它相关文章!
PHP怎么学习?PHP怎么入门?PHP在哪学?PHP怎么学才快?不用担心,这里为大家提供了PHP速学教程(入门到精通),有需要的小伙伴保存下载就能学习啦!
Copyright 2014-2025 https://www.php.cn/ All Rights Reserved | php.cn | 湘ICP备2023035733号
854
收藏
