php怎么部署线上vue前后端分离_跨域带cookie要配啥【说明】

看不見的法師

发布时间：2026-02-14 03:29:08

909人浏览过

来源于php中文网

原创

vue前端部署后请求php接口出现403/401或cookie不携带，根本原因是cors策略与cookie属性未协同配置：需前端axios设withcredentials:true、后端精确设置access-control-allow-origin（非*）、access-control-allow-credentials:true，并将session.cookie_samesite设为none且启用secure、httponly、domain等属性，nginx还需正确代理并透传cookie头。

php怎么部署线上vue前后端分离_跨域带cookie要配啥【说明】

Vue 前端部署后请求 PHP 接口 403/401 或 Cookie 不携带？先看 Access-Control-Allow-Origin

跨域带 Cookie 的核心限制不在 PHP 本身，而在浏览器的 CORS 策略：只要前端发请求时加了 credentials: 'include'（Vue Axios 默认不加，需显式配置），后端就必须返回 Access-Control-Allow-Origin 的具体域名（不能是 *），同时必须带上 Access-Control-Allow-Credentials: true。

PHP 后端常见错误写法：
header('Access-Control-Allow-Origin: *'); → 直接被浏览器拦截，Cookie 不会发送，且后续响应被丢弃。

正确做法（在 PHP 入口或中间件中）：

if (isset($_SERVER['HTTP_ORIGIN'])) {
    $origin = $_SERVER['HTTP_ORIGIN'];
    // 白名单校验，避免任意域名伪造
    $allowed_origins = ['https://your-vue-domain.com', 'https://www.your-vue-domain.com'];
    if (in_array($origin, $allowed_origins)) {
        header("Access-Control-Allow-Origin: $origin");
        header('Access-Control-Allow-Credentials: true');
        header('Access-Control-Allow-Methods: GET, POST, OPTIONS, PUT, DELETE');
        header('Access-Control-Allow-Headers: Content-Type, Authorization, X-Requested-With');
        header('Access-Control-Expose-Headers: X-Auth-Token, X-Request-ID');
    }
}
// 处理预检 OPTIONS 请求
if ($_SERVER['REQUEST_METHOD'] === 'OPTIONS') {
    exit(0);
}

Vue Axios 发送带 Cookie 请求必须显式配置 credentials

Vue 项目里用 axios 或 fetch 默认都不会携带 Cookie，即使域名同源（前后端分离后通常不同域），必须主动声明。

立即学习“PHP免费学习笔记（深入）”；

axios：每个请求加 { withCredentials: true }，或全局设置：
axios.defaults.withCredentials = true
fetch：必须加 credentials: 'include'，例如：
fetch('/api/login', { method: 'POST', credentials: 'include', body: JSON.stringify(data) })
Vue Router 或 Pinia 持久化登录态时，注意首次页面加载后才发起请求 —— 如果服务端依赖 Cookie 鉴权，而前端没带，就会 401

PHP Session 跨域失效？检查 session.cookie_samesite 和 cookie 域名

即使 CORS 和 Axios 都配对了，PHP 的 session_start() 仍可能拿不到旧会话，原因常出在 Cookie 属性上：

Descript

一个多功能的音频和视频编辑引擎

下载

session.cookie_samesite 默认是 Lax（PHP 7.3+），跨站 POST 请求会被浏览器阻止发送 Cookie；线上需设为 None，但强制要求 Secure（即只走 HTTPS）

解决方法（在 PHP 启动前或入口文件顶部）：

ini_set('session.cookie_samesite', 'None');<br>ini_set('session.cookie_secure', '1');<br>ini_set('session.cookie_httponly', '1');<br>ini_set('session.cookie_domain', '.your-domain.com'); // 注意开头的点，支持子域

如果用 Nginx 反向代理 Vue 静态资源，别漏掉 proxy_cookie_domain 重写 Cookie 域名，否则浏览器可能因 domain 不匹配拒绝存储

Nginx 配置补漏：静态资源和 API 路由不能混为一谈

很多线上部署把 Vue dist/ 目录扔进 PHP 项目根目录，靠 try_files 回退到 index.html，但这样容易让 /api/xxx 请求也被 PHP 路由捕获，绕过 CORS 头输出。

推荐结构：Nginx 分开代理

location / {
    root /var/www/vue-dist;
    try_files $uri $uri/ /index.html;
}
<p>location ^~ /api/ {
proxy_pass <a href="https://www.php.cn/link/e911087c91c63c9d3e7ee83e372d10f7">https://www.php.cn/link/e911087c91c63c9d3e7ee83e372d10f7</a>; # 指向 PHP-FPM 或 Swoole 服务
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;</p><h1>关键：透传 Cookie，且允许客户端带凭证</h1><pre class='brush:php;toolbar:false;'>proxy_pass_request_headers on;
proxy_cookie_path / "/; Secure; HttpOnly; SameSite=None";

}

注意 proxy_cookie_path 这行不是万能解，实际生效依赖后端是否已正确 setcookie；它只是兜底补全属性，真正源头还得在 PHP 里控制 setcookie() 的 $options 参数。

最易忽略的一点：开发时用 localhost:8080 + localhost:8000 测试没问题，但上线后域名、HTTPS、SameSite、CORS 头、Nginx 代理链 —— 五者必须全部对齐，缺一不可。任何一个环节漏掉 Secure 标志或 Origin 白名单，Cookie 就静默消失。

如何在 PHP 条件判断中动态触发 Bootstrap Modal 弹窗

如何从字符串中准确提取性别关键词（Men/Women）

如何在 Laravel 中提取模型集合中指定字段并转换为索引数组

如何在 Laravel 中高效提取模型集合中的指定字段并转换为索引数组

如何通过 AJAX 成功将 PHP echo 输出动态显示在网页上

PHP速学教程(入门到精通)

PHP怎么学习？PHP怎么入门？PHP在哪学？PHP怎么学才快？不用担心，这里为大家提供了PHP速学教程(入门到精通)，有需要的小伙伴保存下载就能学习啦！

下载

相关标签:

php vue cookie 后端跨域 nginx 中间件 json include Cookie Session 接口 https Access router axios

本站声明：本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系admin@php.cn

上一篇：PHP替换文件时如何兼容不同系统_跨平台注意事项【指南】下一篇：暂无

作者最新文章

HTML5文档基本结构怎么写_标准模板代码分享【方法】

2026-02-13 18:13

芒果浏览器弹窗拦截怎么设置_芒果浏览器广告过滤开启【方法】

2026-02-13 18:27

Windows电脑怎么设置家长控制_Windows儿童模式管理【介绍】

2026-02-13 18:28

Windows系统自带碎片整理和优化驱动器区别_Win碎片整理与TRIM优化原理【汇总】

2026-02-13 18:33

Win11开机入门教程在哪里_Win11系统入门应用打不开报错怎么办【解答】

2026-02-13 18:37

Win10系统计算器单位换算里没有汇率了_Win计算器汇率更新与联网权限【操作】

2026-02-13 18:40

搜狗浏览器怎么找回历史密码_搜狗保存密码查看【技巧】

2026-02-13 18:47

Win11系统系统还原无法创建还原点_Win11还原点启用与磁盘空间检查【操作】

2026-02-13 19:09

Windows安全中心打不开怎么办_Windows Defender修复【解答】

2026-02-13 19:11

Win10系统游戏全屏时输入法总弹出来_Win兼容模式与输入法关闭状态【技巧】

2026-02-13 19:50

热门AI工具

DeepSeek

幻方量化公司旗下的开源大模型平台

AI 编程开发 AI 聊天问答

豆包大模型

字节跳动自主研发的一系列大型语言模型

AI 编程开发 AI大模型

通义千问

阿里巴巴推出的全能AI助手

AI 编程开发 Agent智能体

腾讯元宝

腾讯混元平台推出的AI助手

文档处理 AI 聊天问答

文心一言

文心一言是百度开发的AI聊天机器人，通过对话可以生成各种形式的内容。

AI 编程开发 AI 文本写作

讯飞写作

基于讯飞星火大模型的AI写作工具，可以快速生成新闻稿件、品宣文案、工作总结、心得体会等各种文文稿

AI 文本写作中文写作

即梦AI

一站式AI创作平台，免费AI图片和视频生成。

AI 图片处理图片拼接

ChatGPT

最最强大的AI聊天机器人程序，ChatGPT不单是聊天机器人，还能进行撰写邮件、视频脚本、文案、翻译、代码等任务。

AI 编程开发 AI 文本写作

智谱清言 - 免费全能的AI助手

AI 编程开发 Agent智能体

相关专题

nginx 重启

nginx重启对于网站的运维来说是非常重要的，根据不同的需求，可以选择简单重启、平滑重启或定时重启等方式。本专题为大家提供nginx重启的相关的文章、下载、课程内容，供大家免费下载体验。

239

2023.07.27

nginx 配置详解

Nginx的配置是指设置和调整Nginx服务器的行为和功能的过程。通过配置文件，可以定义虚拟主机、HTTP请求处理、反向代理、缓存和负载均衡等功能。Nginx的配置语法简洁而强大，允许管理员根据自己的需要进行灵活的调整。php中文网给大家带来了相关的教程以及文章，欢迎大家前来学习阅读。

514

2023.08.04

nginx配置详解

NGINX与其他服务类似，因为它具有以特定格式编写的基于文本的配置文件。本专题为大家提供nginx配置相关的文章，大家可以免费学习。

565

2023.08.04

tomcat和nginx有哪些区别

tomcat和nginx的区别：1、应用领域；2、性能；3、功能；4、配置；5、安全性；6、扩展性；7、部署复杂性；8、社区支持；9、成本；10、日志管理。本专题为大家提供相关的文章、下载、课程内容，供大家免费下载体验。

237

2024.02.23

nginx报404怎么解决

当访问 nginx 网页服务器时遇到 404 错误，表明服务器无法找到请求资源，可以通过以下步骤解决：1. 检查文件是否存在且路径正确；2. 检查文件权限并更改为 644 或 755；3. 检查 nginx 配置，确保根目录设置正确、没有冲突配置等等。本专题为大家提供相关的文章、下载、课程内容，供大家免费下载体验。

457

2024.07.09