PHP内置服务器需通过路由脚本动态添加CORS头:启动时指定router.php,该文件须先调用header()设置Access-Control-Allow-Origin等响应头(带credentials时不能用*),再包含真实资源。
PHP内置服务器如何加CORS响应头
PHP 7.4+ 自带的 php -S 内置服务器默认不支持跨域,直接用 fetch 或 XMLHttpRequest 请求会触发浏览器 CORS 错误。关键不是改 PHP 配置文件(php.ini 不管用),而是靠路由脚本动态注入响应头。
- 启动命令必须指定路由文件:
php -S localhost:8000 router.php -
router.php必须先输出Access-Control-Allow-Origin等头,再包含真实资源 - 不能只写
header('Access-Control-Allow-Origin: *')—— 如果前端带credentials,必须指定具体域名且不能为*
if (file_exists(DIR . '/' . $_SERVER['REQUEST_URI'])) {
return false; // 让内置服务器自己处理静态文件
} else {
include DIR . '/index.php';
}Apache本地环境配跨域要注意RewriteCond顺序
在 .htaccess 或虚拟主机配置里加 Header set Access-Control-Allow-Origin 很常见,但容易被 RewriteRule 干扰——尤其是用了 Laravel、ThinkPHP 这类框架的重写规则后,OPTIONS 预检请求可能根本没走到 Header 指令那一步。
- 把
Header指令放在RewriteEngine On之前,确保对所有请求生效 - 显式处理 OPTIONS 请求:加一条
RewriteRule ^(.*)$ - [E=HTTP_ORIGIN:%{HTTP:Origin}],再配合Header set Access-Control-Allow-Origin %{HTTP_ORIGIN}e实现动态回写 - 如果用 XAMPP/MAMP,确认
headers_module已启用(Windows 下是httpd.conf里取消#LoadModule headers_module modules/mod_headers.so的注释)
Chrome插件绕过CORS只是假象,别当真
装个 “CORS Unblocked” 或 “Allow CORS” 插件,本地开发时确实能跑通请求,但这掩盖了真实问题:服务端根本没发正确响应头。一旦部署到 Nginx/Apache,或换用 Firefox/Safari,立刻报错。
- 插件只修改浏览器行为,不改变服务端逻辑,无法测试
withCredentials: true场景下的 Cookie 透传 - 无法验证
Access-Control-Expose-Headers是否生效(比如你想读取X-Request-ID) - 真要快速验证,用
curl -I http://localhost:8000/api看响应头更可靠
用Nginx代理PHP-FPM时,跨域头必须写在location块里
很多人把 add_header 写在 server 块顶层,结果发现 API 接口有跨域头,但 /assets/js/app.js 也被加上了——这违反 HTTP 规范(非 CORS 资源不该带这些头),某些浏览器会警告甚至拒绝加载。
立即学习“PHP免费学习笔记(深入)”;
- 只在处理 PHP 脚本的
location ~ \.php$块内加add_header - 注意
add_header不继承,子 location 需重复写;如果要用通用逻辑,改用map指令定义变量再引用 - 避免用
if ($request_method = 'OPTIONS') { add_header ... }—— Nginx 的if在 location 中有已知坑,优先用try_files+ 空响应处理预检
