php接口跨域失败首要检查access-control-allow-origin响应头是否缺失,需在php脚本顶部无输出前提下手动设置header(),并确保web服务器(nginx/apache)放行options预检请求且未因fastcgi_hide_header或缓存覆盖跨域头。

PHP 接口跨域失败,先看是不是漏了 Access-Control-Allow-Origin
绝大多数线上 PHP 接口跨域报错(如浏览器控制台显示 CORS header ‘Access-Control-Allow-Origin’ missing),根本原因是响应头没正确设置。PHP 本身不自动加跨域头,得手动加,而且必须在 header() 调用前没有任何输出(包括空格、BOM、echo、var_dump)。常见踩坑点:
- 文件开头有 UTF-8 BOM(尤其 Windows 编辑器保存时默认带),导致
header()失败;用 VS Code 或 Notepad++ 检查并转为“UTF-8 无 BOM” - 用了
require或include引入的配置/工具类提前输出了内容 - 在
header()前写了print_r($_POST)这类调试代码
最简生效写法(放在脚本最顶部):
header('Access-Control-Allow-Origin: *');
header('Access-Control-Allow-Methods: GET, POST, OPTIONS, PUT, DELETE');
header('Access-Control-Allow-Headers: Content-Type, Authorization, X-Requested-With');
header('Access-Control-Allow-Credentials: true'); // 如果前端带 credentials: true
header('Access-Control-Max-Age: 86400');
为什么 OPTIONS 预检请求总 405 或直接不进 PHP?
浏览器对非简单请求(如带 Authorization、Content-Type: application/json)会先发 OPTIONS 请求探路。如果 Web 服务器(Nginx/Apache)没放行 OPTIONS 方法,请求根本到不了 PHP 层,就直接 405 Method Not Allowed。
Nginx 配置关键项(放在 location 块内):
立即学习“PHP免费学习笔记(深入)”;
if ($request_method = 'OPTIONS') {
add_header Access-Control-Allow-Origin "*";
add_header Access-Control-Allow-Methods "GET, POST, OPTIONS, PUT, DELETE";
add_header Access-Control-Allow-Headers "Content-Type, Authorization, X-Requested-With";
add_header Access-Control-Allow-Credentials "true";
add_header Access-Control-Max-Age "86400";
add_header Content-Length 0;
add_header Content-Type text/plain;
return 204;
}
Apache 用户需确认 mod_rewrite 开启,并在 .htaccess 或虚拟主机配置中显式允许 OPTIONS:
RewriteCond %{REQUEST_METHOD} OPTIONS
RewriteRule ^(.*)$ $1 [R=200,L]
PHP-FPM + Nginx 环境下,header() 不生效的隐藏原因
即使 PHP 脚本里写了 header(),Nginx 可能因缓存或代理设置覆盖或丢弃响应头。重点检查:
- Nginx 的
fastcgi_hide_header:默认会隐藏Access-Control-Allow-Origin等自定义头,必须显式放开:fastcgi_hide_header '';(清空隐藏列表)或只隐藏真正不需要的 - 启用了
fastcgi_cache:缓存会固化响应头,跨域头一旦被缓存,后续请求就固定返回旧值。开发期建议关掉:fastcgi_cache off; - 用了
proxy_pass反向代理 PHP(少见但存在):需在 proxy 层也透传跨域头,加proxy_pass_request_headers on;和对应add_header
生产环境别用 *,要精确匹配 Origin
线上接口若需携带 Cookie(credentials: true),Access-Control-Allow-Origin 就不能是 *,否则浏览器直接拒绝。必须动态读取请求头中的 Origin,白名单校验后回写:
$origin = $_SERVER['HTTP_ORIGIN'] ?? '';
$allowed_origins = ['https://your-app.com', 'https://admin.your-app.com'];
if (in_array($origin, $allowed_origins)) {
header("Access-Control-Allow-Origin: $origin");
header('Access-Control-Allow-Credentials: true');
}
注意:$_SERVER['HTTP_ORIGIN'] 在 CLI 或某些 FastCGI 配置下可能为空,务必判空;同时确保所有入口(如 API 网关、CDN)都透传 Origin 头,否则白名单逻辑失效。
跨域不是加几行 header() 就完事,它横跨 PHP、Web 服务器、网络中间件三层。最容易忽略的是预检请求被 Web 服务器截断,以及缓存/代理对响应头的篡改——这两处查不到 PHP 日志,得盯 Nginx error log 和 curl -v 看真实响应头。











