解决CORS预检请求中自定义Header被阻止的问题

碧海醫心

发布时间：2025-08-17 20:34:24

619人浏览过

来源于php中文网

原创

解决cors预检请求中自定义header被阻止的问题

本文旨在帮助开发者解决在跨域资源共享（CORS）预检请求中，自定义Header被服务器阻止的问题。通过配置服务器端响应头，并处理OPTIONS请求，可以有效解决该问题，确保客户端能够成功发送带有自定义Header的请求。

在进行API开发时，跨域资源共享（CORS）是一个常见的问题。当客户端从一个域（例如：http://localhost:8020）向另一个域（例如：http://localhost:8080）发起请求，并且请求中包含自定义Header时，浏览器会先发送一个预检（preflight）请求（OPTIONS请求）到服务器，以确定服务器是否允许该跨域请求。如果服务器没有正确配置，客户端可能会收到类似 "Request header field custom-token is not allowed by Access-Control-Allow-Headers in preflight response" 的错误。

要解决这个问题，需要在服务器端进行如下配置：

设置 Access-Control-Allow-Origin 响应头：

该响应头指定了允许访问资源的域。在开发环境中，可以设置为 *，允许所有域访问。但在生产环境中，建议设置为具体的域名，以提高安全性。
```
header('Access-Control-Allow-Origin: *');
```
设置 Access-Control-Allow-Headers 响应头：

该响应头指定了服务器允许客户端在请求中使用的Header。需要将所有自定义Header添加到该列表中。
```
header('Access-Control-Allow-Headers: Origin, X-Requested-With, Content-Type, Accept, Custom-Token');
```
注意: Origin, X-Requested-With, Content-Type, Accept 是常用的Header，通常需要包含在内。
处理 OPTIONS 请求：

ZOER
AI全栈应用开发平台

下载

当客户端发送预检请求时，服务器需要正确处理OPTIONS请求。一种常见的做法是在路由中注册一个OPTIONS请求的处理函数，并返回一个成功的响应。
```
options('/{routes:.*}', function (Request $request, Response $response) {
    // CORS Pre-Flight OPTIONS Request Handler
    echo "OK!";

    return $response;
});

$app->get('/income/', function (Request $request, Response $response) {
    $response->getBody()->write(json_encode(['message' => 'Hello, World!']));
    return $response->withHeader('Content-Type', 'application/json');
});

$app->run();
```
在这个例子中，/income/ 接口允许 GET 请求，并且在响应头中设置了 Content-Type 为 application/json。 OPTIONS 请求被路由到特定的处理函数，该函数简单地输出 "OK!" 并返回一个响应。

示例代码总结：

以下是一个完整的PHP示例，展示了如何使用Slim Framework处理CORS预检请求：

add(function ($request, $handler) {
    $response = $handler->handle($request);
    return $response
            ->withHeader('Access-Control-Allow-Origin', '*')
            ->withHeader('Access-Control-Allow-Headers', 'X-Requested-With, Content-Type, Accept, Origin, Authorization, Custom-Token')
            ->withHeader('Access-Control-Allow-Methods', 'GET, POST, PUT, DELETE, PATCH, OPTIONS');
});


$app->options('/{routes:.*}', function (Request $request, Response $response) {
    // CORS Pre-Flight OPTIONS Request Handler
    return $response;
});

$app->get('/income/', function (Request $request, Response $response) {
    $response->getBody()->write(json_encode(['message' => 'Hello, World!']));
    return $response->withHeader('Content-Type', 'application/json');
});

$app->run();

注意事项：

确保在所有需要支持CORS的路由上都进行了上述配置。
在生产环境中，务必将 Access-Control-Allow-Origin 设置为具体的域名，而不是 *。
如果客户端使用了 Authorization Header，也需要将其添加到 Access-Control-Allow-Headers 中。
某些浏览器可能会缓存预检请求的结果。如果修改了服务器端的CORS配置，可能需要清除浏览器缓存才能生效。

总结：

通过正确配置服务器端的CORS响应头，并处理OPTIONS请求，可以有效解决CORS预检请求中自定义Header被阻止的问题。这有助于确保客户端能够成功发送带有自定义Header的跨域请求，从而实现更灵活的API开发。

php格式文件用浏览器直接打开行吗_php浏览器打开条件【教程】

php实时输出apache要调吗_php实时输出apache设置【步骤】

如何正确将包含空格的字符串完整赋值给HTML文本输入框

php实时输出怎么立即刷到浏览器_php实时输出flush应用【步骤】

kali怎么挖php漏洞_借助zap代理测php站csrf漏洞【步骤】

相关标签:

浏览器 access json Token 接口 http Access

本站声明：本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系admin@php.cn

上一篇：PHP命令如何在执行后自动生成执行报告 PHP命令执行报告生成的实用教程下一篇：PHP命令如何使用-r参数直接执行PHP代码片段 PHP命令直接执行代码的技巧

作者最新文章

检测通过 window.open 打开的新窗口是否完成加载

2026-01-27 15:13

Apache Tomcat 中 PS Old Gen 持续增长的诊断与优化指南

2026-01-27 15:16

如何使用 Webpack 5 为不同 HTML 页面按需打包多个 JS 文件

2026-01-27 15:16

Java 泛型中实现构建器链式调用的类型安全返回

2026-01-27 15:22

如何在 Python 中让子类实例自动继承父类名称而非自身类名

2026-01-27 15:31

单词速记宝如何进行词汇量测试

2026-01-27 15:32

Anthropic 在 Claude 中推出跨应用交互功能

2026-01-27 15:39

如何利用AI快速导出透明背景的png文件

2026-01-27 15:47

格蕾丝越怂里昂越痛《生化9》确认狂暴丧尸机制回归

2026-01-27 15:53

标题：深度比较嵌套对象并精准提取差异键名的 JavaScript 实战教程

2026-01-27 15:55

热门AI工具

DeepSeek

幻方量化公司旗下的开源大模型平台

AI 编程开发 AI 聊天问答

豆包大模型

字节跳动自主研发的一系列大型语言模型

AI 编程开发 AI大模型

通义千问

阿里巴巴推出的全能AI助手

AI 编程开发 Agent智能体

腾讯元宝

腾讯混元平台推出的AI助手

文档处理 AI 聊天问答

文心一言

文心一言是百度开发的AI聊天机器人，通过对话可以生成各种形式的内容。

AI 编程开发 AI 文本写作

讯飞写作

基于讯飞星火大模型的AI写作工具，可以快速生成新闻稿件、品宣文案、工作总结、心得体会等各种文文稿

AI 文本写作中文写作

即梦AI

一站式AI创作平台，免费AI图片和视频生成。

图片拼接图画生成

ChatGPT

最最强大的AI聊天机器人程序，ChatGPT不单是聊天机器人，还能进行撰写邮件、视频脚本、文案、翻译、代码等任务。

AI 编程开发 AI 文本写作

智谱清言 - 免费全能的AI助手

AI 编程开发 Agent智能体

相关专题

json数据格式

JSON是一种轻量级的数据交换格式。本专题为大家带来json数据格式相关文章，帮助大家解决问题。

418

2023.08.07

json是什么

JSON是一种轻量级的数据交换格式，具有简洁、易读、跨平台和语言的特点，JSON数据是通过键值对的方式进行组织，其中键是字符串，值可以是字符串、数值、布尔值、数组、对象或者null，在Web开发、数据交换和配置文件等方面得到广泛应用。本专题为大家提供json相关的文章、下载、课程内容，供大家免费下载体验。

535

2023.08.23

jquery怎么操作json

操作的方法有：1、“$.parseJSON(jsonString)”2、“$.getJSON(url, data, success)”；3、“$.each(obj, callback)”；4、“$.ajax()”。更多jquery怎么操作json的详细内容，可以访问本专题下面的文章。

311

2023.10.13

go语言处理json数据方法

本专题整合了go语言中处理json数据方法，阅读专题下面的文章了解更多详细内容。

2025.09.10

登录token无效

登录token无效解决方法：1、检查token的有效期限，如果token已经过期，需要重新获取一个新的token；2、检查token的签名，如果签名不正确，需要重新获取一个新的token；3、检查密钥的正确性，如果密钥不正确，需要重新获取一个新的token；4、使用HTTPS协议传输token，建议使用HTTPS协议进行传输；5、使用双因素认证，双因素认证可以提高账户的安全性。

6166

2023.09.14

登录token无效怎么办

登录token无效的解决办法有检查Token是否过期、检查Token是否正确、检查Token是否被篡改、检查Token是否与用户匹配、清除缓存或Cookie、检查网络连接和服务器状态、重新登录或请求新的Token、联系技术支持或开发人员等。本专题为大家提供token相关的文章、下载、课程内容，供大家免费下载体验。

816

2023.09.14