CORS 错误是浏览器拦截响应而非 PHP 报错;需在 PHP 输出前动态设置 Access-Control-Allow-Origin 匹配 Origin,预检请求需手动处理 OPTIONS,凭据请求必须同时设 Allow-Credentials 且 Origin 不为 *。
CORS 错误不是 PHP 本身的问题,而是浏览器拦截了响应——PHP 没报错,但浏览器拒绝把响应交给 JavaScript。
看懂控制台里那条红色 CORS 错误
典型错误信息长这样:Access to fetch at 'https://api.example.com/data' from origin 'https://localhost:3000' has been blocked by CORS policy: No 'Access-Control-Allow-Origin' header is present on the requested resource.
关键点有三个:
- 错误发生在
fetch或XMLHttpRequest调用后,不是 PHP 报错,PHP 可能已正常返回 200 - 浏览器明确指出:目标响应头里缺
Access-Control-Allow-Origin - 注意 Origin 值(如
https://localhost:3000)——它决定了你该允许谁,不能写成*同时又带凭据
PHP 中设置 Access-Control-Allow-Origin 的正确姿势
必须在输出任何内容前设置响应头,且要匹配前端请求的 Origin。常见错误是硬写 * 却又发了带 credentials: true 的请求。
立即学习“PHP免费学习笔记(深入)”;
- 如果前端没带
withCredentials或credentials: 'include',可简单用:header('Access-Control-Allow-Origin: *'); - 如果前端需要传 Cookie 或 Authorization,必须精确匹配 Origin:
header('Access-Control-Allow-Origin: https://your-frontend-domain.com'); - 务必检查是否已有输出(空格、BOM、
echo、var_dump),否则header()会失败并报Cannot modify header information - 推荐用白名单方式动态判断:
if (in_array($_SERVER['HTTP_ORIGIN'], ['https://localhost:3000', 'https://prod.example.com'])) { header('Access-Control-Allow-Origin: ' . $_SERVER['HTTP_ORIGIN']); }
预检请求(OPTIONS)被 405 或空白响应卡住
当请求含自定义 header(如 Authorization)、非简单 method(如 PATCH)、或 Content-Type 为 application/json 时,浏览器会先发 OPTIONS 请求。PHP 默认不处理它,导致 405 Method Not Allowed 或超时。
- 在入口文件(如
index.php)开头加:if ($_SERVER['REQUEST_METHOD'] === 'OPTIONS') { header('Access-Control-Allow-Methods: GET, POST, PUT, DELETE, OPTIONS'); header('Access-Control-Allow-Headers: Content-Type, Authorization'); exit(0); } - 确保 Web 服务器(如 Nginx/Apache)没把 OPTIONS 请求直接拒掉或转发错地方
- 不要依赖框架自动处理——某些轻量框架(如 Slim v2、原生 PHP 路由)默认不响应 OPTIONS,得手动补
Cookie 和认证相关头漏设导致凭据失效
即使 Access-Control-Allow-Origin 正确,若前端带 credentials: 'include',还必须显式开启凭据支持,否则浏览器仍丢响应。
- 必须同时设置:
header('Access-Control-Allow-Credentials: true'); - 此时
Access-Control-Allow-Origin不能为*,必须是具体域名(包括协议和端口) - 前端发起请求时,
fetch需明确写:credentials: 'include';XMLHttpRequest需设:xhr.withCredentials = true; - 检查 PHP session 是否正常启动(
session_start()),否则 Cookie 不会回写
最常被忽略的是:跨域问题往往混合了多个条件——Origin 匹配、凭据开关、预检响应、响应头顺序、甚至 PHP 输出缓冲(ob_start() 没开导致 header 失效)。别只盯一个头,逐项对照请求/响应原始数据更可靠。
