PHP后端收不到跨域请求,本质是浏览器在预检(OPTIONS)阶段拦截或服务端未正确返回CORS响应头;需确保Web服务器处理OPTIONS请求、PHP对所有接口(含OPTIONS)统一设置Access-Control-Allow-*头,并严格校验Origin、匹配Credentials与Headers。
PHP后端收不到跨域请求,通常不是PHP本身“拒绝”,而是浏览器在发请求前就卡在预检(OPTIONS)阶段,或者PHP没正确响应CORS头导致浏览器直接拦截响应。关键得让服务端对OPTIONS请求有响应,并在所有目标接口返回合法的Access-Control-Allow-*头。
为什么OPTIONS预检失败?
当请求含Content-Type: application/json、自定义Header或非简单方法(如PATCH),浏览器会先发一个OPTIONS请求探路。如果PHP没处理它,Nginx/Apache可能直接返回405或500,前端就看不到后续请求。
- 检查Web服务器日志:是否出现
OPTIONS405 Not Allowed? - 确认PHP脚本是否执行到了——很多框架/路由默认不匹配
OPTIONS方法 - Apache需开启
mod_rewrite并允许OPTIONS;Nginx需显式配置location捕获OPTIONS
PHP里怎么加CORS响应头?
不能只在业务逻辑里加header(),必须确保所有路径(包括OPTIONS)都触发。最稳妥是统一前置处理:
if ($_SERVER['REQUEST_METHOD'] === 'OPTIONS') {
header('Access-Control-Allow-Origin: https://your-frontend.com');
header('Access-Control-Allow-Methods: GET, POST, PUT, DELETE, OPTIONS');
header('Access-Control-Allow-Headers: Content-Type, Authorization, X-Requested-With');
header('Access-Control-Allow-Credentials: true');
header('Access-Control-Max-Age: 86400');
exit(0);
}
// 所有非OPTIONS请求也必须带这些头(Origin需动态校验)
$origin = $_SERVER['HTTP_ORIGIN'] ?? '';
$allowed_origins = ['https://your-frontend.com', 'http://localhost:3000'];
if (in_array($origin, $allowed_origins)) {
header("Access-Control-Allow-Origin: $origin");
}
header('Access-Control-Allow-Methods: GET, POST, PUT, DELETE, OPTIONS');
header('Access-Control-Allow-Headers: Content-Type, Authorization, X-Requested-With');
header('Access-Control-Allow-Credentials: true');
-
Access-Control-Allow-Origin不能设为*+Access-Control-Allow-Credentials: true,否则浏览器报错 -
Access-Control-Allow-Headers必须包含前端实际发送的自定义Header名,比如X-Api-Key - 如果用
$_POST收不到application/json数据,记得手动解析:$input = json_decode(file_get_contents('php://input'), true);
Nginx/Apache要不要配?
要,但仅作补充。Web服务器层加头能避免PHP启动开销,但无法做Origin白名单校验等逻辑。常见配置:
立即学习“PHP免费学习笔记(深入)”;
- Nginx:在
location块里加add_header Access-Control-Allow-Origin ...;,但注意add_header不继承,OPTIONS需单独location ~ ^/api/ { ... } - Apache:
Header set Access-Control-Allow-Origin "https://your-frontend.com"需启用mod_headers,且AllowOverride All才生效 - 优先级:Nginx/Apache头 → PHP
header()→ 浏览器最终看到的是合并结果(部分头如Set-Cookie会被覆盖)
CORS真正难的不是加几行header(),而是OPTIONS路径是否被路由到、Origin是否严格校验、凭证和Header是否成对放开——漏掉任意一环,请求就静默失败。
