PHP设置API接口Content-Type方法

本文深入解析了PHP开发API接口时正确设置Content-Type的关键要点：输出JSON必须在任何内容（包括空白、BOM、错误提示）之前调用header('Content-Type: application/json; charset=utf-8')，否则默认text/html会导致前端解析失败或CORS错误；强调charset=utf-8需显式声明以防中文乱码，并警示headers already sent错误的隐蔽根源（如BOM、尾部空格、未捕获的Notice）及高效定位方法；同时厘清JSONP需用text/javascript而非application/json，并提醒其安全风险与时代局限性；最后指出cURL调试中Content-Type“不生效”的常见陷阱，从Web服务器配置、PHP解析机制到输出缓冲层层拆解——掌握这些细节，才能写出稳定、安全、可调试的高质量API。

PHP 输出 JSON 时 Content-Type 设为 application/json

直接输出 JSON 数据但前端收不到正确类型，大概率是没设对 header。PHP 默认输出是 text/html，哪怕你写了 json_encode()，浏览器或客户端仍可能按 HTML 解析，导致解析失败或 CORS 报错。

必须在任何输出（包括空格、BOM、echo）之前调用 header()：

header('Content-Type: application/json; charset=utf-8');
echo json_encode(['code' => 0, 'data' => ['id' => 123]]);

• charset=utf-8 要显式声明，避免中文乱码；不写也可能出问题，尤其响应含中文时
• 不能在 echo、print、HTML 标签甚至文件开头的空白之后调用 header()，否则报 “headers already sent”
• 如果用了框架（如 Laravel、Slim），别手动设 header，改用框架的响应构造方法，否则可能被覆盖

遇到 headers already sent 错误怎么快速定位

这个错误不是 PHP 拒绝执行，而是输出缓冲已开启或已有内容发出，header() 失效。常见源头比想象中隐蔽：

• PHP 文件开头有 BOM（尤其是 UTF-8 with BOM 编码的 .php 文件），肉眼不可见但算“已输出”
• config.php 或 database.php 末尾多了一个换行或空格
• 用了 require 引入的文件里包含 HTML 注释或空行
• 错误报告开启（error_reporting(E_ALL)）且触发了 Notice，PHP 会立即输出警告文本，破坏 header 流程

临时排查：在入口文件第一行加 ob_start()，强制开启输出缓冲（仅调试用，上线前应修复根源）。

需要支持 JSONP 怎么设 Content-Type

JSONP 是绕过同源限制的旧方案，本质是返回一段 JavaScript 调用语句，不是标准 JSON，所以 Content-Type 必须是 application/javascript 或 text/javascript（后者兼容性更好）：

$callback = $_GET['callback'] ?? '';
$data = json_encode(['code' => 0, 'msg' => 'ok']);
if ($callback && preg_match('/^[a-zA-Z_][a-zA-Z0-9_]*$/', $callback)) {
    header('Content-Type: text/javascript; charset=utf-8');
    echo "$callback($data);";
}

• 务必校验 $callback 只含合法函数名字符，否则可被 XSS 利用
• 不要用 application/json 返回 JSONP，浏览器不会执行 script 类型的 JSON 响应
• 现代项目优先用 CORS，JSONP 已基本淘汰，仅用于老系统兼容

用 cURL 调试时发现 Content-Type 不生效

本地测试用 curl -I http://localhost/api.php 看响应头，但返回仍是 text/html，说明 header 没发出去。这时候别急着改代码逻辑，先检查：

• 脚本是否真的被执行？比如 URL 写成 /api 但没配 rewrite，Web 服务器返回了 404 页面（它自带 text/html header）
• 是否启用了 PHP 的 output_handler（如 zlib.output_compression），某些配置下会干扰 header 发送
• Apache 的 AddType application/x-httpd-php .php 是否缺失，导致文件被当静态文件下载，根本没走 PHP 解析

最稳的验证方式：在脚本开头加 var_dump(headers_sent($file, $line)); die;，它会告诉你在哪一行、哪个文件首次输出了内容。

今天关于《PHP设置API接口Content-Type方法》的内容介绍就到此结束，如果有什么疑问或者建议，可以在golang学习网公众号下多多回复交流；文中若有不正之处，也希望回复留言以告知！