修复 PHP 跨域配置导致的 403 错误与 JSON 解析失败问题

本文详解如何正确配置 PHP 的 CORS 响应头，避免因错误检查 HTTP_ORIGIN 导致的 403 禁止访问及 Unexpected end of JSON input 错误，特别适用于 cPanel 环境下的同源/跨域数据请求场景。

本文详解如何正确配置 php 的 cors 响应头，避免因错误检查 `http_origin` 导致的 403 禁止访问及 `unexpected end of json input` 错误，特别适用于 cpanel 环境下的同源/跨域数据请求场景。

在使用 JavaScript 的 fetch() 从 PHP 后端读取 JSON 数据时，你遇到的 403 Forbidden 响应和后续的 SyntaxError: Unexpected end of JSON input 并非文件权限或路径问题，而是由 CORS 头逻辑缺陷 引起的典型服务端响应异常。核心原因在于：你的前端调用 /data.php 是同源请求（即 HTML 与 PHP 文件同属 https://example.com），而浏览器不会为同源请求发送 Origin 请求头。但当前 PHP 代码却强制依赖该头进行鉴权，并在缺失时直接返回 403，导致响应体为空——fetch().json() 尝试解析空响应，自然抛出 JSON 解析错误。

✅ 正确处理 CORS：区分同源与跨域场景

CORS（跨域资源共享）机制仅对跨域请求生效。同源请求无需任何 CORS 头即可正常通信；而跨域请求则需服务端明确声明 Access-Control-Allow-Origin。因此，PHP 脚本应：

• 仅当 Origin 头存在时才验证并设置 CORS 头；
• 绝不因 Origin 缺失而拒绝同源请求；
• 始终确保 JSON 响应体完整输出（避免空响应）。

以下是修正后的 data.php 完整代码：

AI Room Planner

AI 室内设计工具，免费为您的房间提供上百种设计方案

下载

<?php
// 1. 明确定义允许的跨域来源（含协议与端口）
$allowedOrigins = [
    'https://example.com',
    'https://www.example.com',
    'https://localhost:3000', // 开发环境示例
];

// 2. 仅当 Origin 头存在时执行 CORS 检查（关键！）
if (isset($_SERVER['HTTP_ORIGIN'])) {
    $origin = $_SERVER['HTTP_ORIGIN'];
    if (in_array($origin, $allowedOrigins)) {
        header("Access-Control-Allow-Origin: $origin");
        // 可选：支持凭证（如 cookies）
        // header('Access-Control-Allow-Credentials: true');
    }
}
// 注意：此处无 else 分支！同源请求不设 CORS 头，也不阻断

// 3. 读取并输出 JSON 数据（务必确保文件存在且可读）
$jsonFile = __DIR__ . '/data.json';
if (!file_exists($jsonFile)) {
    http_response_code(500);
    die(json_encode(['error' => 'JSON data file not found']));
}

$data = file_get_contents($jsonFile);
if ($data === false) {
    http_response_code(500);
    die(json_encode(['error' => 'Failed to read JSON file']));
}

// 4. 设置标准 JSON 响应头并输出
header('Content-Type: application/json; charset=utf-8');
echo $data;
?>

⚠️ 关键注意事项与最佳实践

• HTTP_ORIGIN 是只读只检，非认证凭据：它可被任意工具（如 curl）伪造，绝不可用于用户身份验证或权限控制。若需保护数据，请改用 Session、JWT 或 API Key 等服务端认证机制。
• 同源请求无需 CORS：你的 fetch('/data.php') 属于同源（协议+域名+端口完全一致），浏览器根本不会发送 Origin 头，因此 $_SERVER['HTTP_ORIGIN'] 必然未定义。原代码中 ?? '' 后对空字符串做 in_array() 判断，逻辑无效且触发 Undefined index Notice。
• 路径与权限确认：确保 data.json 与 data.php 位于同一目录（或使用 __DIR__ 动态定位），且 cPanel 中文件权限为 644（PHP 可读）、目录为 755。
• 调试技巧：在浏览器开发者工具 → Network 标签页中查看 data.php 的响应状态码与响应体内容。若返回 403 或空内容，立即检查上述逻辑；若返回 500，则检查 data.json 路径与读取权限。
• 生产环境加固：上线前移除开发用的 localhost 来源，并考虑添加 Access-Control-Allow-Methods 和 Access-Control-Allow-Headers 以支持更复杂的跨域请求。

通过以上修正，你的前端将稳定收到有效的 JSON 响应，fetchCelebritiesData() 不再因空响应而崩溃，同时兼顾安全性与兼容性。记住：CORS 是浏览器施加的限制，服务端只需“如实告知”是否允许跨域，而非“阻止非法访问”。

立即学习“PHP免费学习笔记（深入）”；