Workerman处理跨域需配置CORS响应头,核心是通过$connection->header()设置Access-Control-Allow-Origin等字段,允许特定或所有来源访问,并正确处理OPTIONS预检请求以确保浏览器放行跨域。
Workerman处理跨域问题,核心在于服务器端配置CORS响应头,允许特定或所有来源的请求。这避免了浏览器因同源策略而阻止跨域请求。
配置CORS,本质上就是让你的Workerman应用告诉浏览器,“嘿,这个来源的请求我是允许的”。
解决方案
在你的Workerman应用中,你需要针对每个需要支持跨域的接口或路由,手动设置响应头。一种方式是在请求到达时,动态地添加这些头。
use Workerman\Worker;
use Workerman\Connection\TcpConnection;
require_once __DIR__ . '/Autoloader.php';
$http_worker = new Worker("http://0.0.0.0:2345");
$http_worker->count = 4;
$http_worker->onMessage = function(TcpConnection $connection, $data)
{
// 允许所有来源跨域访问
$connection->header('Access-Control-Allow-Origin: *');
// 允许携带凭证(如cookies)
$connection->header('Access-Control-Allow-Credentials: true');
// 允许的请求方法
$connection->header('Access-Control-Allow-Methods: GET, POST, PUT, DELETE, OPTIONS');
// 允许的请求头
$connection->header('Access-Control-Allow-Headers: Content-Type, Authorization, X-Requested-With');
// 如果是OPTIONS请求,直接返回204 No Content
if ($_SERVER['REQUEST_METHOD'] == 'OPTIONS') {
$connection->send('');
return;
}
// 实际的业务逻辑
$connection->send('hello world');
};
Worker::runAll();这段代码的核心在于
$connection->header()的使用,它允许你设置HTTP响应头。
Access-Control-Allow-Origin: *表示允许所有来源的请求,但实际生产环境中,更推荐设置为具体的域名,以提高安全性。
需要注意的是,
OPTIONS请求的处理。浏览器在发起跨域请求时,通常会先发送一个
OPTIONS预检请求,询问服务器是否允许该请求。如果服务器没有正确处理
OPTIONS请求,跨域请求就会失败。
如何限制只允许特定域名跨域访问?
将
Access-Control-Allow-Origin: *替换为具体的域名,例如
Access-Control-Allow-Origin: https://www.example.com。 如果需要支持多个域名,一种简单的做法是检查请求头的
Origin字段,然后动态设置
Access-Control-Allow-Origin。
$http_worker->onMessage = function(TcpConnection $connection, $data)
{
$origin = isset($_SERVER['HTTP_ORIGIN']) ? $_SERVER['HTTP_ORIGIN'] : '';
$allowed_origins = [
'https://www.example.com',
'https://api.example.com',
];
if (in_array($origin, $allowed_origins)) {
$connection->header('Access-Control-Allow-Origin: ' . $origin);
$connection->header('Access-Control-Allow-Credentials: true');
$connection->header('Access-Control-Allow-Methods: GET, POST, PUT, DELETE, OPTIONS');
$connection->header('Access-Control-Allow-Headers: Content-Type, Authorization, X-Requested-With');
if ($_SERVER['REQUEST_METHOD'] == 'OPTIONS') {
$connection->send('');
return;
}
$connection->send('hello world');
} else {
$connection->send('Unauthorized'); // 或者返回其他错误信息
}
};这种方式更安全,因为它只允许你信任的域名进行跨域访问。
为什么需要处理OPTIONS预检请求?
浏览器为了安全,会在某些情况下(例如使用了非标准的请求头,或者请求方法不是GET、HEAD、POST)发起预检请求。这个预检请求使用
OPTIONS方法,目的是询问服务器是否允许真正的请求。
如果服务器没有正确处理
OPTIONS请求,浏览器会认为服务器不允许该跨域请求,从而阻止真正的请求。所以,处理
OPTIONS请求是跨域配置中非常重要的一环。
Workerman中如何处理复杂的CORS配置?
复杂的CORS配置可能涉及到不同的路由需要不同的CORS策略,或者需要根据请求头动态调整CORS配置。 你可以创建一个CORS中间件,集中处理CORS逻辑。
// CORS中间件
function corsMiddleware(TcpConnection $connection) {
$origin = isset($_SERVER['HTTP_ORIGIN']) ? $_SERVER['HTTP_ORIGIN'] : '';
$allowed_origins = [
'https://www.example.com',
'https://api.example.com',
];
if (in_array($origin, $allowed_origins)) {
$connection->header('Access-Control-Allow-Origin: ' . $origin);
$connection->header('Access-Control-Allow-Credentials: true');
$connection->header('Access-Control-Allow-Methods: GET, POST, PUT, DELETE, OPTIONS');
$connection->header('Access-Control-Allow-Headers: Content-Type, Authorization, X-Requested-With');
if ($_SERVER['REQUEST_METHOD'] == 'OPTIONS') {
$connection->send('');
return true; // 阻止后续处理
}
return false; // 继续后续处理
} else {
$connection->send('Unauthorized');
return true; // 阻止后续处理
}
}
$http_worker->onMessage = function(TcpConnection $connection, $data)
{
// 先执行CORS中间件
if (corsMiddleware($connection)) {
return; // CORS中间件已经处理了请求
}
// 实际的业务逻辑
$connection->send('hello world');
};使用中间件可以使你的代码更清晰,更易于维护。你可以根据实际需求,扩展这个中间件,例如根据路由配置不同的CORS策略。
