PHP不拦截跨域请求,浏览器同源策略才是拦截主体;解决方法是在响应头中设置CORS字段,如Access-Control-Allow-Origin,并注意*与credentials不能共存、预检OPTIONS需正确处理、header()须在输出前调用。
PHP 后端本身不拦截跨域请求,真正拦住请求的是浏览器的同源策略;你看到的 CORS 错误(比如 Access to fetch at '...' from origin '...' has been blocked by CORS policy)是前端发请求时被浏览器拒绝,不是 PHP 拒绝。解决的关键是在 PHP 响应头中正确设置 Access-Control-Allow-Origin 等字段。
直接在 PHP 脚本开头加 header()
最简单、最直接的写法,适合单文件 API 或调试阶段:
header('Access-Control-Allow-Origin: *');
header('Access-Control-Allow-Methods: GET, POST, OPTIONS, PUT, DELETE');
header('Access-Control-Allow-Headers: Content-Type, Authorization, X-Requested-With');
header('Access-Control-Allow-Credentials: true');
header('Access-Control-Max-Age: 86400');
注意几个关键点:
-
Access-Control-Allow-Origin: *不能和Access-Control-Allow-Credentials: true同时用,否则浏览器会报错;如果前端用了credentials: 'include',这里必须写具体域名,比如https://example.com -
OPTIONS请求(预检)必须能被 PHP 正确响应;如果用的是 Apache + mod_rewrite,要确保OPTIONS不被重写规则吞掉 - 这些
header()必须在任何输出(包括空格、BOM、echo)之前调用,否则会触发headers already sent错误
在 Apache 的 .htaccess 中统一配置
适合整个站点或某个目录下的所有 PHP 脚本,避免每处都写 header():
立即学习“PHP免费学习笔记(深入)”;
Header set Access-Control-Allow-Origin "https://your-frontend-domain.com" Header set Access-Control-Allow-Methods "GET, POST, OPTIONS, PUT, DELETE" Header set Access-Control-Allow-Headers "Content-Type, Authorization, X-Requested-With" Header set Access-Control-Allow-Credentials "true" Header set Access-Control-Max-Age "86400"
几点实操提醒:
- 必须开启
mod_headers模块(Ubuntu/Debian 下运行a2enmod headers) - 如果后端用的是 Nginx,不能用
.htaccess,得改nginx.conf或 server block,加add_header指令 - Apache 默认不处理
OPTIONS请求,需要显式放行:加一行RewriteCond %{REQUEST_METHOD} OPTIONS+RewriteRule ^(.*)$ $1 [R=200,L]
用中间件或框架内置机制(如 Laravel)
生产环境推荐方式,逻辑集中、可复用、易维护。以 Laravel 为例,它自带 Cors 中间件:
先安装官方包:composer require fruitcake/laravel-cors
然后在 config/cors.php 中配置:
'paths' => ['api/*'], 'allowed_origins' => ['https://your-frontend-domain.com'], 'supports_credentials' => true,
关键细节:
- 不要把
allowed_origins设为['*']并同时设supports_credentials => true,Laravel 会静默忽略该配置 - 如果你用的是自定义 API 路由(比如没走
api/前缀),记得把路径加进paths数组 - 某些旧版 Laravel(barryvdh/laravel-cors,配置键名略有不同,别套错文档
跨域问题看似只是加几行 header,但实际踩坑多在细节:前端是否带 credentials、预检请求是否被 Web 服务器拦截、响应头是否被缓存、甚至 PHP 输出缓冲是否开启。最容易被忽略的是——本地开发时用 file:// 打开 HTML,此时连 Origin 都是 null,* 不生效,必须用本地服务(如 php -S 或 VS Code Live Server)跑前端才能真实测试。
