PHP设置\_header处理CORS跨域请求方法

PHP处理CORS跨域请求的核心在于后端必须主动、精准地设置响应头，而非依赖前端“绕过”——需在任何输出前用header()声明Access-Control-Allow-Origin（严禁与credentials共用通配符）、Methods、Headers及Credentials，并专门拦截并响应OPTIONS预检请求；推荐动态校验Origin白名单以兼顾多环境与安全性，避免硬编码或服务器层静态配置，因为只有PHP层才能灵活实现逻辑判断与细粒度控制，稍有疏忽（如空格、BOM、漏exit、错误匹配）即导致请求被浏览器彻底拦截。

CORS 跨域请求不是靠前端“解决”的，PHP 后端必须显式设置响应头，否则浏览器直接拦截；不设 Access-Control-Allow-Origin 或设错值（比如带通配符却带凭证），请求就失败。

怎么设置基础 CORS 响应头

最简有效写法是直接在 PHP 脚本开头输出关键头信息。注意顺序：必须在任何输出（包括空格、BOM）之前调用 header()，否则报 headers already sent 错误。

常见组合如下：

• header('Access-Control-Allow-Origin: https://example.com'); —— 严格指定来源，生产环境推荐
• header('Access-Control-Allow-Methods: GET, POST, OPTIONS'); —— 明确允许的 HTTP 方法，OPTIONS 必须包含（预检请求）
• header('Access-Control-Allow-Headers: Content-Type, X-Requested-With, Authorization'); —— 列出前端实际会带的自定义请求头
• header('Access-Control-Allow-Credentials: true'); —— 若前端设了 credentials: "include"，此项必须为 true，且 Access-Control-Allow-Origin 不能为 *

为什么 OPTIONS 预检请求总是 405 或空白响应

当请求含自定义头、非简单方法（如 PUT）、或 Content-Type 为 application/json 时，浏览器会先发一个 OPTIONS 请求。如果 PHP 没处理它，Web 服务器（如 Nginx/Apache）可能直接返回 405（Method Not Allowed）或空响应。

解决方法是主动拦截并响应 OPTIONS：

if ($_SERVER['REQUEST_METHOD'] === 'OPTIONS') {
    header('HTTP/1.1 200 OK');
    exit;
}

这段代码需放在所有业务逻辑前，且确保没其他输出干扰。别漏掉 exit，否则后续代码还会执行。

如何动态支持多个域名而不硬编码

硬写死 Access-Control-Allow-Origin 值无法适配多环境（如本地开发用 http://localhost:3000，测试用 https://test.example.com）。安全做法是白名单校验：

• 维护一个可信来源数组，例如 $allowed_origins = ['https://example.com', 'https://admin.example.com'];
• 从 $_SERVER['HTTP_ORIGIN'] 取值（注意：该值可能为空或被伪造，仅用于 CORS 协商，不用于权限判断）
• 用 in_array() 匹配后设置响应头：header("Access-Control-Allow-Origin: {$_SERVER['HTTP_ORIGIN']}");
• 切勿用正则模糊匹配或 strpos() 包含判断，易被绕过（如 https://evil.com.example.com）

Apache/Nginx 中设置和 PHP 中设置的区别

在 Web 服务器层加头（如 Apache 的 Header set 或 Nginx 的 add_header）看似省事，但存在两个硬伤：

• 无法做动态逻辑（如 Origin 白名单校验、条件性开启 credentials）
• Nginx 的 add_header 默认不继承到子 location，且对 OPTIONS 响应可能不生效（尤其 FastCGI 场景下）

结论：CORS 头应在 PHP 中控制，服务器配置只作为兜底或静态资源场景使用。调试时用浏览器开发者工具的 Network → Response Headers 确认最终发出的头是否符合预期，而不是只看 PHP 代码里写了什么。

最容易被忽略的是：Access-Control-Allow-Credentials: true 和 Access-Control-Allow-Origin: * 互斥，只要用了前者，Origin 就必须精确匹配，连末尾斜杠都不能错。

以上就是本文的全部内容了，是否有顺利帮助你解决问题？若是能给你带来学习上的帮助，请大家多多支持golang学习网！更多关于文章的相关知识，也可关注golang学习网公众号。