CORS是浏览器的跨域资源共享机制,通过在PHP接口中设置Access-Control-Allow-Origin等响应头,可解决前端跨域请求问题,需根据域名、方法、头部及凭据需求合理配置,避免安全风险。
当使用PHP开发接口时,如果前端页面与后端接口不在同一个域名下,浏览器会因为同源策略阻止请求,导致“跨域”问题。解决这个问题最常用的方式是通过CORS(跨域资源共享)机制,在PHP接口中设置适当的响应头即可实现跨域访问。
什么是CORS
CORS(Cross-Origin Resource Sharing)是浏览器支持的一种标准机制,允许服务器声明哪些外部源可以访问其资源。通过在HTTP响应头中添加特定字段,如Access-Control-Allow-Origin,服务器可以控制哪些域名、方法和头部可以被跨域请求使用。
简单的PHP跨域配置
在PHP接口文件的开头加入以下响应头,即可实现基本的跨域支持:
<?php
// 允许所有域名访问(生产环境不推荐)
header("Access-Control-Allow-Origin: *");
// 或者只允许指定域名
// header("Access-Control-Allow-Origin: https://example.com");
// 允许的请求方法
header("Access-Control-Allow-Methods: GET, POST, PUT, DELETE, OPTIONS");
// 允许携带的自定义请求头
header("Access-Control-Allow-Headers: Content-Type, Authorization, X-Requested-With");
// 如果需要允许携带cookie或认证信息,需开启凭据支持
// header("Access-Control-Allow-Credentials: true");
// 处理预检请求(OPTIONS)
if ($_SERVER['REQUEST_METHOD'] == 'OPTIONS') {
exit(0);
}
// 正常处理你的接口逻辑...
常见场景及优化建议
根据实际需求调整CORS配置,确保安全性和兼容性:
立即学习“PHP免费学习笔记(深入)”;
- 限制来源域名:避免使用*(通配符),应明确指定可信的前端域名,如https://yourapp.com
- 处理预检请求(Preflight):对于包含自定义头或非简单方法的请求,浏览器会先发送OPTIONS请求,需正确响应并立即退出
- 支持Cookie传递:若需携带session或token cookie,必须同时设置Allow-Credentials为true,并且Allow-Origin不能为*
- 缓存预检结果:可通过Access-Control-Max-Age减少重复预检请求,提升性能
通过.htaccess配置跨域(可选)
如果你希望通过服务器配置而非PHP代码实现跨域,可在Apache的.htaccess文件中添加:
<IfModule mod_headers.c>
Header set Access-Control-Allow-Origin "https://yourdomain.com"
Header set Access-Control-Allow-Methods "GET, POST, OPTIONS"
Header set Access-Control-Allow-Headers "Content-Type, Authorization"
</IfModule>
Nginx配置示例:
location /api/ {
add_header 'Access-Control-Allow-Origin' 'https://yourdomain.com';
add_header 'Access-Control-Allow-Methods' 'GET, POST, OPTIONS';
add_header 'Access-Control-Allow-Headers' 'Content-Type, Authorization';
if ($request_method = 'OPTIONS') {
return 204;
}
}
基本上就这些。只要在响应中正确设置CORS头,PHP接口就能安全地支持跨域请求,关键是根据业务需求合理配置,避免过度开放带来安全隐患。 
