Lumen 5.8 中 CORS 的配置与常见问题解决方案

理解跨域资源共享（CORS）

跨域资源共享（cors）是一种基于 http 头的机制，它允许浏览器向服务器发起跨域 http 请求。当一个 web 应用运行在某个域（例如 http://example.com）下，而它需要访问另一个域（例如 http://api.example.com）的资源时，就会发生跨域请求。出于安全考虑，浏览器通常会阻止此类请求，除非服务器明确允许。cors 就是服务器告知浏览器它允许哪些域、哪些 http 方法和哪些头进行跨域访问的机制。

CORS 请求通常分为两类：

1. 简单请求 (Simple Requests)：满足特定条件的 GET、HEAD、POST 请求。
2. 预检请求 (Preflight Requests)：对于非简单请求（如 PUT、DELETE、自定义头等），浏览器会先发送一个 OPTIONS 请求到服务器，以确定实际请求是否安全可接受。服务器需要对这个 OPTIONS 请求做出响应，告知浏览器允许的 HTTP 方法、头和来源。

手动实现 Lumen 5.8 中的 CORS

在 Lumen 5.8 中手动实现 CORS 需要创建两个核心组件：一个服务提供者（Service Provider）用于处理 OPTIONS 预检请求，以及一个中间件（Middleware）用于添加 CORS 响应头。

1. 处理 OPTIONS 预检请求

预检请求是 CORS 机制的关键部分。当浏览器发送 OPTIONS 请求时，服务器需要返回一个 200 OK 状态码，并附带必要的 CORS 头，告知浏览器允许的跨域策略。

创建一个 App\Providers\CatchAllOptionsRequestsProvider.php 文件，内容如下：

isMethod('OPTIONS')) {
            // 为当前请求路径注册一个 OPTIONS 路由处理器
            // 返回一个 200 OK 响应，不包含任何内容
            app()->options($request->path(), function() {
                return response('', 200);
            });
        }
    }
}

这个服务提供者的作用是，在 Lumen 应用程序启动时，如果检测到当前请求是 OPTIONS 方法，就会为该请求路径注册一个特殊的路由处理器。这个处理器会直接返回一个空的 200 OK 响应，以满足浏览器的预检要求。

2. 添加 CORS 响应头

实际的 CORS 响应头需要通过中间件添加到每个 HTTP 响应中。

创建一个 App\Http\Middleware\CorsMiddleware.php 文件，内容如下：

isMethod('OPTIONS')) {
            $response = response('', 200);
        } else {
            // 将请求传递给下一个中间件或路由处理器
            $response = $next($request);
        }

        // 添加 CORS 相关的响应头
        // 允许的 HTTP 方法
        $response->header('Access-Control-Allow-Methods', 'HEAD, GET, POST, PUT, PATCH, DELETE, OPTIONS');
        // 允许的请求头，通常与请求中的 Access-Control-Request-Headers 保持一致
        $response->header('Access-Control-Allow-Headers', $request->header('Access-Control-Request-Headers') . ', Content-Type, Authorization, X-Requested-With');
        // 允许的来源，'*' 表示允许所有来源，生产环境中应限制为特定域名
        $response->header('Access-Control-Allow-Origin', '*');
        // 允许携带凭证（如 Cookies、HTTP 认证）
        $response->header('Access-Control-Allow-Credentials', 'true');
        // 预检请求的有效期，单位秒
        $response->header('Access-Control-Max-Age', '86400');

        return $response;
    }
}

这个中间件在请求被处理之前或之后，根据请求类型（OPTIONS 或其他）来添加必要的 CORS 响应头。

• Access-Control-Allow-Methods: 声明服务器允许的 HTTP 方法。
• Access-Control-Allow-Headers: 声明服务器允许的自定义请求头。
• Access-Control-Allow-Origin: 这是最重要的头，它指定了允许访问资源的来源。* 表示允许所有来源，但在生产环境中应尽可能指定具体的域名，例如 http://your-frontend.com。
• Access-Control-Allow-Credentials: 如果前端需要发送 Cookies 或 HTTP 认证等凭证，此项必须设置为 true。
• Access-Control-Max-Age: 预检请求的缓存时间，在此时间内浏览器无需再次发送预检请求。

3. 注册服务提供者和中间件

最后，需要在 Lumen 的 bootstrap/app.php 文件中注册这些组件。

// bootstrap/app.php

// ... 其他 Lumen 初始化代码 ...

// 注册 CORS 中间件
// 确保 $app 变量是 Laravel\Lumen\Application 的实例
$app->middleware([
   App\Http\Middleware\CorsMiddleware::class
]);

// 注册 OPTIONS 请求处理服务提供者
$app->register(App\Providers\CatchAllOptionsRequestsProvider::class);

// ... 其他路由和服务提供者注册 ...

关于 Call to undefined method Illuminate\Foundation\Application::middleware() 错误的说明：

您遇到的错误 PHP Fatal error: Uncaught Error: Call to undefined method Illuminate\Foundation\Application::middleware() 表明 $app 变量的实例类型是 Illuminate\Foundation\Application，这是 Laravel 框架的应用程序容器，它确实没有 middleware() 方法。

然而，在标准的 Lumen 5.8 项目中，bootstrap/app.php 文件中的 $app 变量应该是 Laravel\Lumen\Application 的实例。Laravel\Lumen\Application 是 Lumen 自己的应用程序容器，它确实提供了 middleware() 方法来注册全局中间件，以及 register() 方法来注册服务提供者。

因此，这个错误通常意味着您的 bootstrap/app.php 文件可能不是一个标准的 Lumen 配置文件，或者 $app 变量在某个地方被意外地重新定义或覆盖为 Illuminate\Foundation\Application 的实例。要解决此问题，请确保您的 $app 变量在调用 middleware() 和 register() 方法时，确实是 Laravel\Lumen\Application 的实例。 在一个标准的 Lumen 应用程序中，上述代码片段是完全有效的。

推荐方法：使用专用 CORS 包

尽管手动实现 CORS 是可行的，但为了代码的健壮性、可维护性和功能完整性，强烈建议使用成熟的第三方 CORS 包。这些包通常会处理各种边缘情况、复杂的配置选项以及性能优化，减少您自己实现时可能遇到的问题。

以下是两个支持 Lumen 的流行 CORS 包：

1. fruitcake/laravel-cors

这是 Laravel 7.0 及更高版本默认包含的 CORS 包，也完全兼容 Lumen。

安装：

Kuwebs企业网站管理系统3.1.5 UTF8

酷纬企业网站管理系统Kuwebs是酷纬信息开发的为企业网站提供解决方案而开发的营销型网站系统。在线留言模块、常见问题模块、友情链接模块。前台采用DIV+CSS，遵循SEO标准。 1.支持中文、英文两种版本，后台可以在不同的环境下编辑中英文。 3.程序和界面分离，提供通用的PHP标准语法字段供前台调用，可以为不同的页面设置不同的风格。 5.支持google地图生成、自定义标题、自定义关键词、自定义描

下载

composer require fruitcake/laravel-cors

配置：

1. 在 bootstrap/app.php 中注册服务提供者：

   $app->register(Fruitcake\Cors\CorsServiceProvider::class);

2. 在 bootstrap/app.php 中注册中间件：

   $app->middleware([
       Fruitcake\Cors\HandleCors::class,
       // ... 其他中间件
   ]);

   或者，如果您只想在特定路由组或路由上应用 CORS，可以将其注册为路由中间件：

   $app->routeMiddleware([
       'cors' => Fruitcake\Cors\HandleCors::class,
   ]);
   // 然后在路由中使用
   // $app->group(['middleware' => 'cors'], function () use ($app) {
   //     $app->get('/', function () { /* ... */ });
   // });

3. 发布配置文件（可选，但推荐用于自定义）： 由于 Lumen 没有 vendor:publish 命令，您需要手动复制配置文件。通常，配置文件位于 vendor/fruitcake/laravel-cors/config/cors.php。将其复制到 Lumen 项目的 config/cors.php（如果 config 目录不存在，请创建它）。

   config/cors.php 示例（您可以根据需要修改）：

    ['api/*', 'sanctum/csrf-cookie'],
       'allowed_methods' => ['*'],
       'allowed_origins' => ['*'], // 生产环境请指定具体域名
       'allowed_origins_patterns' => [],
       'allowed_headers' => ['*'],
       'exposed_headers' => [],
       'max_age' => 0,
       'supports_credentials' => false,
   ];

   在 Lumen 中，您需要在 bootstrap/app.php 中加载此配置：

   $app->configure('cors');

2. spatie/laravel-cors

这是另一个非常流行的 CORS 包，在 fruitcake/laravel-cors 成为 Laravel 默认选项之前被广泛使用。它同样支持 Lumen。

安装：

composer require spatie/laravel-cors

配置：

1. 在 bootstrap/app.php 中注册服务提供者：

   $app->register(Spatie\Cors\CorsServiceProvider::class);

2. 在 bootstrap/app.php 中注册中间件：

   $app->middleware([
       Spatie\Cors\CorsMiddleware::class,
       // ... 其他中间件
   ]);

   或者注册为路由中间件：

   $app->routeMiddleware([
       'cors' => Spatie\Cors\CorsMiddleware::class,
   ]);

3. 发布配置文件（手动复制）： 将 vendor/spatie/laravel-cors/config/cors.php 复制到 Lumen 项目的 config/cors.php。

   在 bootstrap/app.php 中加载配置：

   $app->configure('cors');

两个包都提供了详细的配置选项，允许您精确控制允许的来源、方法、头、是否支持凭证以及预检请求的缓存时间。

重要注意事项和最佳实践

1. Access-Control-Allow-Origin 的安全性：
   • *生产环境严禁使用 `**：将Access-Control-Allow-Origin设置为*` 意味着允许任何域名访问您的资源，这会带来严重的安全风险，可能导致跨站请求伪造（CSRF）和数据泄露。
   • 指定具体域名：在生产环境中，始终将 Access-Control-Allow-Origin 设置为您的前端应用的准确域名，例如 http://your-frontend-domain.com。如果需要支持多个域名，您可以在中间件中根据请求的 Origin 头动态设置，或者使用包提供的 allowed_origins 数组配置。
2. 处理预检请求（OPTIONS）： 确保您的服务器能正确响应 OPTIONS 请求，返回 200 OK 状态码并包含正确的 CORS 头（如 Access-Control-Allow-Methods, Access-Control-Allow-Headers, Access-Control-Max-Age）。手动实现时，CatchAllOptionsRequestsProvider 负责这一点；使用包时，它们会自动处理。
3. 凭证（Credentials）： 如果您的前端应用需要发送 Cookies、HTTP 认证或客户端 SSL 证书等凭证，您必须将 Access-Control-Allow-Credentials 设置为 true。同时，Access-Control-Allow-Origin 就不能是 *，必须是具体的域名。
4. 自定义头（Custom Headers）： 如果您的前端请求中包含自定义的 HTTP 头（例如 X-Auth-Token），您需要在 Access-Control-Allow-Headers 中明确列出这些头，否则浏览器会阻止请求。
5. 错误调试： 当遇到 CORS 问题时，首先检查浏览器开发工具的网络（Network）选项卡。查看请求和响应的 HTTP 头，特别是 Origin、Access-Control-Request-Method、Access-Control-Request-Headers (请求头) 和 Access-Control-Allow-Origin、Access-Control-Allow-Methods、Access-Control-Allow-Headers、Access-Control-Allow-Credentials (响应头)。这些信息通常能帮助您快速定位问题。

总结

在 Lumen 5.8 中配置 CORS 是构建现代 Web 应用不可或缺的一部分。虽然可以通过手动编写服务提供者和中间件来实现，但这种方法需要开发者对 CORS 机制有深入理解，并处理所有细节。更推荐且更健壮的方式是利用 fruitcake/laravel-cors 或 spatie/laravel-cors 等成熟的第三方包，它们能够简化配置并提供更全面的功能。无论选择哪种方法，务必牢记 CORS 的安全最佳实践，特别是关于 Access-Control-Allow-Origin 的配置，以避免潜在的安全漏洞。正确配置 CORS 将确保您的前端应用能够安全、顺畅地与后端 API 进行交互。