PHP跨域请求处理与CORS配置详解

在使用PHP开发Web接口时，跨域请求是常见问题。本文详细讲解了**PHP处理跨域请求**的方法，重点在于**CORS（跨域资源共享）设置**。通过正确配置CORS响应头，包括`Access-Control-Allow-Origin`、`Access-Control-Allow-Methods`、`Access-Control-Allow-Headers`以及`Access-Control-Allow-Credentials`，并妥善处理`OPTIONS`预检请求，可以有效解决PHP跨域问题。文章提供详细的PHP代码示例，指导开发者如何设置允许的域名、HTTP方法和请求头，以及如何处理预检请求，确保API接口能顺利支持跨域调用，避免浏览器同源策略限制，并强调了安全性，推荐指定具体域名而非使用通配符`*`。

正确配置CORS响应头并处理OPTIONS预检请求可解决PHP跨域问题。1. 设置Access-Control-Allow-Origin为具体域名；2. 指定允许的Methods和Headers；3. 预检请求时返回200并终止脚本；4. 带凭据请求需设置Allow-Credentials为true且Origin不可为*。

在使用 PHP 开发 Web 接口时，前端通过 AJAX 或 Fetch 发起跨域请求常常会遇到浏览器的同源策略限制。要解决这个问题，需要正确配置 CORS（跨域资源共享）响应头，并妥善处理 OPTIONS 预检请求。以下是具体实现方式。

设置 CORS 响应头

为了让浏览器允许跨域请求，后端必须在响应中包含适当的 CORS 头信息。常见的响应头包括：

• Access-Control-Allow-Origin：指定允许访问资源的源（如 http://localhost:3000 或 *）
• Access-Control-Allow-Methods：允许的 HTTP 方法（如 GET、POST、PUT、DELETE 等）
• Access-Control-Allow-Headers：允许携带的请求头字段（如 Content-Type、Authorization 等）
• Access-Control-Allow-Credentials：是否允许携带凭据（如 Cookie），设为 true 时 Origin 不能为 *

在 PHP 中设置这些头的方法如下：

// 允许特定或所有来源
header("Access-Control-Allow-Origin: http://localhost:3000"); // 推荐指定具体域名
// header("Access-Control-Allow-Origin: *"); // 不推荐用于带凭据请求
<p>// 允许的方法
header("Access-Control-Allow-Methods: GET, POST, PUT, DELETE, OPTIONS");</p><p>// 允许的请求头
header("Access-Control-Allow-Headers: Content-Type, Authorization, X-Requested-With");</p><p>// 是否允许携带 Cookie
header("Access-Control-Allow-Credentials: true");
</p>

处理 OPTIONS 预检请求

当请求是“非简单请求”（例如带有自定义头或 Content-Type 为 application/json）时，浏览器会先发送一个 OPTIONS 请求进行预检。服务器必须正确响应这个 OPTIONS 请求，否则实际请求不会被发出。

可以在脚本开头检查请求方法，如果是 OPTIONS，直接返回成功状态并结束脚本执行：

if ($_SERVER['REQUEST_METHOD'] === 'OPTIONS') {
    // 预检请求，直接返回 200 OK
    http_response_code(200);
    exit();
}

这段代码应放在业务逻辑之前，确保预检请求不会触发后续处理流程。

完整示例代码

以下是一个完整的 PHP 文件示例，适用于 API 接口入口（如 api/index.php）：

<?php
// 设置 CORS 响应头
header("Access-Control-Allow-Origin: http://localhost:3000");
header("Access-Control-Allow-Methods: GET, POST, PUT, DELETE, OPTIONS");
header("Access-Control-Allow-Headers: Content-Type, Authorization, X-Requested-With");
header("Access-Control-Allow-Credentials: true");
<p>// 处理 OPTIONS 预检请求
if ($_SERVER['REQUEST_METHOD'] === 'OPTIONS') {
http_response_code(200);
exit();
}</p><p>// 后续你的业务逻辑代码...
$data = json_decode(file_get_contents('php://input'), true);
// ...处理 POST/GET 数据等
echo json_encode(['status' => 'success', 'data' => $data]);
</p>

注意事项

• 不要对所有接口都开放 * 源，尤其是涉及用户凭证时，应明确指定可信域名
• 如果前端设置了 withCredentials: true，后端必须指定具体 Origin，且 Allow-Credentials 为 true
• 可以将 CORS 配置封装成函数或中间件，便于复用
• 生产环境中建议结合 Nginx/Apache 配置统一处理部分 CORS 头，减少 PHP 层负担

基本上就这些，只要正确设置响应头并拦截 OPTIONS 请求，PHP 就能顺利支持跨域调用。不复杂但容易忽略细节。

以上就是《PHP跨域请求处理与CORS配置详解》的详细内容，更多关于的资料请关注golang学习网公众号！