在Web开发中，跨域资源共享（CORS）是一个常见的问题，当前端页面与后端API不在同一个域名下时，浏览器的同源策略会阻止跨域请求。本文将介绍两种在PHP中解决跨域请求问题的实用方法。

什么是跨域问题？

跨域指的是浏览器不能执行其他网站的脚本，这是由浏览器的同源策略造成的，是浏览器对JavaScript施加的安全限制。同源策略要求协议、域名、端口三者都相同，否则即为跨域。

当出现跨域问题时，浏览器控制台通常会出现类似以下的错误：

Access to XMLHttpRequest at 'http://api.example.com/data' from origin 'http://www.example.com' has been blocked by CORS policy: No 'Access-Control-Allow-Origin' header is present on the requested resource.

方法一：使用header()函数设置CORS头

这是一种简单直接的方法，通过设置响应头来允许跨域访问。

1. <?php 
2. // 设置允许跨域访问 
3. header('Access-Control-Allow-Origin: *'); 
4. header('Access-Control-Allow-Methods: GET, POST, PUT, DELETE, OPTIONS'); 
5. header('Access-Control-Allow-Headers: X-Requested-With, Content-Type, Accept, Origin, Authorization'); 
6.  
7. // 如果是OPTIONS请求，直接返回200 
8. if ($_SERVER['REQUEST_METHOD'] == 'OPTIONS') { 
9.     http_response_code(200); 
10.     exit(); 
11. } 
12.  
13. // 你的API逻辑 
14. echo json_encode(['message' => '跨域请求成功']); 
15. ?> 

代码解析：

Access-Control-Allow-Origin: *：允许所有域名访问，* 表示通配符

Access-Control-Allow-Methods：指定允许的HTTP方法

Access-Control-Allow-Headers：指定允许的请求头

处理预检请求（OPTIONS）：浏览器在发送实际请求前可能会先发送一个OPTIONS请求进行预检，这里直接返回200表示允许

优缺点：

优点：实现简单，适合开发环境快速测试

缺点：允许所有域名访问存在安全隐患，不推荐在生产环境使用

方法二：针对特定域名允许跨域

这种方法更加安全，只允许指定的可信域名进行跨域访问，适合生产环境使用。

1. <?php 
2. // 允许指定的域名访问 
3. $allowed_origins = [ 
4.     'http://localhost:3000', 
5.     'https://myapp.com', 
6.     'https://staging.myapp.com' 
7. ]; 
8.  
9. $origin = $_SERVER['HTTP_ORIGIN'] ?? ''; 
10.  
11. if (in_array($origin, $allowed_origins)) { 
12.     header("Access-Control-Allow-Origin: $origin"); 
13. } else { 
14.     // 或者允许所有（不推荐生产环境） 
15.     // header('Access-Control-Allow-Origin: *'); 
16.       
17.     // 生产环境建议直接拒绝未授权域名 
18.     http_response_code(403); 
19.     exit('不允许的跨域请求'); 
20. } 
21.  
22. header('Access-Control-Allow-Methods: GET, POST, PUT, DELETE, OPTIONS'); 
23. header('Access-Control-Allow-Headers: Content-Type, Authorization, X-Requested-With'); 
24. header('Access-Control-Allow-Credentials: true'); 
25.  
26. // 处理预检请求 
27. if ($_SERVER['REQUEST_METHOD'] == 'OPTIONS') { 
28.     http_response_code(200); 
29.     exit(); 
30. } 
31.  
32. // API业务逻辑 
33. ?> 

代码解析：

定义允许访问的可信域名列表 $allowed_origins

获取请求来源域名 $origin

检查请求来源是否在允许的列表中，如果是则设置对应的响应头

添加了 Access-Control-Allow-Credentials: true 头，允许跨域请求携带cookie信息

生产环境下对未授权的域名直接返回403错误

优缺点：

优点：安全性高，只允许可信域名访问，适合生产环境

缺点：需要维护允许访问的域名列表

使用建议

开发环境：可以使用方法一快速测试，无需考虑过多安全问题

生产环境：强烈推荐使用方法二，只允许必要的可信域名访问

对于需要携带身份凭证（如cookie）的跨域请求，必须指定具体的允许域名，不能使用通配符*

可以将CORS设置封装成一个单独的文件，在所有API入口文件中引入，便于统一管理

通过以上方法，我们可以有效地解决PHP开发中的跨域请求问题，同时在开发效率和系统安全之间取得平衡。

Tags: PHP跨域请求

分享到：