php中设置cors头最简方式是在脚本开头用header()输出,须在任何输出前执行;需显式处理options预检请求,生产环境禁用*并配合access-control-allow-credentials使用。
PHP中设置CORS头的最简方式
直接在PHP脚本开头输出响应头即可生效,无需修改服务器配置。这是开发阶段最快捷、最可控的方式,尤其适合单页应用(SPA)后端接口。
常见错误是把header()写在任何输出之后(包括空格、BOM、echo),导致“Cannot modify header information”警告。务必确保它在所有echo、print、HTML内容之前执行。
-
header('Access-Control-Allow-Origin: https://your-frontend.com');—— 生产环境必须指定明确域名,禁用*(否则无法携带凭据) -
header('Access-Control-Allow-Methods: GET, POST, OPTIONS');—— 列出实际需要的HTTP方法,OPTIONS必须包含(预检请求) -
header('Access-Control-Allow-Headers: Content-Type, X-Requested-With, Authorization');—— 前端实际发送的自定义头必须在此声明 -
header('Access-Control-Allow-Credentials: true');—— 如需跨域传Cookie或Authorization头,此项必开,且Access-Control-Allow-Origin不能为*
处理预检请求(OPTIONS)的必要逻辑
浏览器对非简单请求(如含Content-Type: application/json或自定义头)会先发OPTIONS请求探路。若PHP不响应这个请求,后续真实请求根本不会发出。
很多PHP脚本只处理GET/POST,漏掉OPTIONS,结果前端卡在预检失败,控制台报错Response to preflight request doesn't pass access control check。
立即学习“PHP免费学习笔记(深入)”;
- 在路由入口或统一中间层加判断:
if ($_SERVER['REQUEST_METHOD'] === 'OPTIONS') { http_response_code(200); exit; } - 不要仅靠Apache/Nginx配置
OPTIONS返回,PHP本身必须能接收并快速响应,否则FastCGI等环境下仍可能被拦截 - 若用框架(如Laravel、ThinkPHP),优先查其CORS中间件,避免手动重复处理
与Web服务器配置的协作关系
PHP设置的header()和Nginx/Apache的add_header不是互斥,而是叠加。但有优先级和覆盖规则:PHP的header()会覆盖同名的服务器级响应头(除非用always修饰符)。
典型陷阱是:Nginx配了add_header Access-Control-Allow-Origin *;,但PHP又写了header('Access-Control-Allow-Origin: https://a.com');——最终以PHP为准;反之,如果PHP没设,才 fallback 到Nginx配置。
- Nginx建议配置(放在
location块内):add_header 'Access-Control-Allow-Origin' 'https://your-frontend.com' always;(always确保对2xx/4xx都生效) - Apache用
Header set时需启用mod_headers,且注意Header always set才覆盖PHP输出 - 本地开发用PHP内置服务器(
php -S)时,只能靠PHP代码设头,无服务器配置可依赖
调试CORS问题的关键检查点
浏览器Network面板里看预检请求(OPTIONS)的响应头是否完整,比看主请求更有效。很多问题其实卡在预检环节,但开发者只盯着主请求的失败状态。
- 检查响应头是否存在
Access-Control-Allow-Origin,值是否匹配前端协议+域名+端口(http://localhost:3000≠http://127.0.0.1:3000) - 确认
Access-Control-Allow-Credentials和Access-Control-Allow-Origin是否同时出现且兼容(前者为true时后者不能是*) - 用
curl -I -X OPTIONS https://your-api.com/endpoint直连后端,排除浏览器缓存干扰 - PHP中开启
error_log(print_r(getallheaders(), true));可查看原始请求头,验证前端是否真发了预期的Authorization或X-Token
CORS真正难的不是写几行header(),而是理解浏览器预检机制、服务端响应时机、以及PHP与Web服务器头传递的边界。多数线上问题,根源都在OPTIONS没走通,或者凭据模式下Origin值写错了。
