Laravel通过fruitcake/laravel-cors扩展包解决CORS跨域问题,安装后发布配置文件config/cors.php并设置allowed_origins、allowed_methods等参数,全局或仅API路由注册\Fruitcake\Cors\HandleCors::class中间件,自动处理预检请求与响应头,注意supports_credentials启用时allowed_origins不可为*以确保安全。
Laravel处理CORS跨域问题主要通过配置中间件来实现。当你的前端应用(如Vue、React)运行在与Laravel后端不同的域名或端口时,浏览器会因同源策略阻止请求,此时就需要正确配置CORS(跨域资源共享)。
安装laravel-cors扩展包
Laravel官方推荐使用fruitcake/laravel-cors来统一管理CORS配置。该扩展包基于spatie/laravel-cors构建,能灵活控制跨域规则。
在项目根目录执行以下命令安装:
- composer require fruitcake/laravel-cors
安装完成后,无需手动注册服务提供者(Laravel 6+支持自动发现),但需发布配置文件以便自定义规则:
- php artisan vendor:publish --tag="cors"
配置cors.php文件
执行发布命令后,会在config/cors.php生成配置文件。你可以根据项目需求调整允许的来源、方法、头部等。
常见配置项说明:
-
allowed_origins:允许跨域请求的域名列表,例如
['http://localhost:3000', 'https://your-frontend.com'],可使用*表示允许所有域名(生产环境慎用) -
allowed_methods:允许的HTTP方法,如
['GET', 'POST', 'PUT', 'DELETE'] -
allowed_headers:允许携带的请求头,例如
['Content-Type', 'Authorization', 'X-Requested-With'] -
supports_credentials:是否支持凭据(如Cookie),若设为true,
allowed_origins不能为*,必须明确指定域名
全局启用CORS中间件
打开app/Http/Kernel.php文件,在$middleware数组中添加CORS中间件以确保每个请求都检查跨域规则:
- \Fruitcake\Cors\HandleCors::class
这样配置后,所有路由都会自动应用config/cors.php中的规则,包括API和Web请求。
针对API路由单独控制(可选)
如果你只想对/api/*路由启用CORS,可以将中间件注册到$middlewareGroups中的api组:
- 在
Kernel.php的'api'中间件组中加入:\Fruitcake\Cors\HandleCors::class
这种方式更适合前后端分离项目,避免影响Web页面的其他逻辑。
基本上就这些。只要正确安装并配置fruitcake/laravel-cors,Laravel就能自动响应浏览器的预检请求(OPTIONS),并返回正确的CORS头信息,解决绝大多数跨域问题。不复杂但容易忽略的是supports_credentials和allowed_origins的配合使用,务必注意安全性。
