php跨域需用header()设响应头,但仅对当前请求生效且不解决options预检;常见报错因输出早于header、未开缓冲、服务器覆盖、credentials与*冲突;必须动态校验origin、显式处理options请求并避免隐式输出。
PHP中直接通过header()函数设置跨域响应头是最常用、最轻量的方案,但必须注意:它只对当前请求生效,且无法解决预检请求(OPTIONS)失败的问题。
为什么加了Access-Control-Allow-Origin还是报错
常见现象是浏览器控制台显示“CORS header ‘Access-Control-Allow-Origin’ missing”,即使你写了header('Access-Control-Allow-Origin: *');。原因通常有:
- 响应头在
echo或print输出之后才调用header(),导致HTTP头已发送,header()失效(PHP报Warning但不中断执行) - 使用了输出缓冲但未显式开启,比如
ob_start()没调用,或框架自动缓冲被绕过 - 服务器配置(如Apache的
mod_headers或Nginx)覆盖了PHP设置的头 - 前端请求带了
Credentials(如cookies),但后端仍设*——此时必须指定具体域名,且要加Access-Control-Allow-Credentials: true
Access-Control-Allow-Origin的取值规则
这个头不是“能写*就写*”,它的取值直接影响是否允许携带认证信息:
- 设为
*:最宽松,但禁止前端设置credentials: 'include',否则浏览器直接拒绝 - 设为具体域名(如
https://example.com):支持credentials,但必须精确匹配协议+域名+端口;若需支持多个域名,不能逗号分隔,得动态判断$_SERVER['HTTP_ORIGIN']再输出 - 设为空或未设置:浏览器视为不允跨域,无论前端怎么配都失败
示例(支持单个可信域名并允许凭据):
立即学习“PHP免费学习笔记(深入)”;
if (isset($_SERVER['HTTP_ORIGIN']) && in_array($_SERVER['HTTP_ORIGIN'], ['https://a.com', 'https://b.com'])) {
header('Access-Control-Allow-Origin: ' . $_SERVER['HTTP_ORIGIN']);
header('Access-Control-Allow-Credentials: true');
}
如何正确处理预检请求(OPTIONS)
当请求含自定义头、非简单方法(如PUT/DELETE)或Content-Type为application/json时,浏览器会先发一个OPTIONS请求。如果PHP脚本没响应它,就会卡在预检失败。
- 必须在脚本开头检查
$_SERVER['REQUEST_METHOD'] === 'OPTIONS',然后仅输出必要头并exit - 至少返回:
Access-Control-Allow-Methods(如GET, POST, PUT, DELETE)、Access-Control-Allow-Headers(如Content-Type, X-Requested-With)、Access-Control-Max-Age - 不要在OPTIONS响应里输出任何body,包括空格和换行——哪怕多一个
\n都可能让某些浏览器判定为非法响应
简版预检响应示例:
if ($_SERVER['REQUEST_METHOD'] === 'OPTIONS') {
header('Access-Control-Allow-Origin: https://example.com');
header('Access-Control-Allow-Methods: GET, POST, PUT, DELETE, OPTIONS');
header('Access-Control-Allow-Headers: Content-Type, X-Requested-With');
header('Access-Control-Allow-Credentials: true');
exit;
}
实际部署中最容易被忽略的点
本地开发用*很顺,一上生产就出问题,核心在于:
- 没有校验
HTTP_ORIGIN来源,导致恶意站点也能读取你的用户数据(尤其带credentials时) - 忘记在所有入口文件(如API路由统一入口)加跨域头,而是只在某个
.php里加,结果部分接口仍被拦 - 用了CDN或反向代理(如Nginx),但代理层没透传或重写了
Origin头,导致PHP收到的$_SERVER['HTTP_ORIGIN']为空或错误 - PHP错误(如notice/warning)触发了隐式输出,让
header()调用失败却不报错——建议开启error_reporting(E_ALL)并配合display_errors=Off查日志
