答案:跨域请求可通过CORS或JSONP解决。CORS通过设置Access-Control-Allow-Origin等响应头实现,支持多种HTTP方法和自定义头部,推荐用于现代项目;若需允许多个域名,应动态校验Origin并返回对应头信息。JSONP利用script标签不受同源限制的特性,仅支持GET请求,后端需将数据包裹在回调函数中返回,适用于只读场景但安全性较低。生产环境应避免使用通配符*,限制允许的源、方法和头部,并验证回调函数名防止XSS攻击,敏感接口应结合Token认证以提升安全性。
跨域请求在前后端分离开发中非常常见。当浏览器发起的请求协议、域名或端口不一致时,就会触发同源策略限制。PHP作为后端服务,可以通过设置CORS头或使用JSONP方式解决跨域问题。下面介绍两种方法的具体实现。
CORS头设置(推荐现代项目使用)
跨域资源共享(CORS)是W3C标准,通过在服务器响应头中添加特定字段,允许浏览器接受来自不同源的请求。
基本CORS头设置:
- Access-Control-Allow-Origin:指定允许访问的源,可以是具体域名或通配符 *
- Access-Control-Allow-Methods:允许的HTTP方法,如GET、POST、PUT、DELETE等
- Access-Control-Allow-Headers:客户端请求中允许携带的头部字段,如Content-Type、Authorization等
- Access-Control-Allow-Credentials:是否允许携带凭据(如Cookie),设为true时Origin不能为 *
示例代码:
立即学习“PHP免费学习笔记(深入)”;
header("Access-Control-Allow-Origin: https://example.com");
header("Access-Control-Allow-Methods: GET, POST, OPTIONS");
header("Access-Control-Allow-Headers: Content-Type, Authorization");
header("Access-Control-Allow-Credentials: true");
// 处理预检请求
if ($_SERVER['REQUEST_METHOD'] == 'OPTIONS') {
exit(0);
}
若需支持多个域名,不能直接使用 *,应根据请求中的 Origin 动态判断:
$allowedOrigins = ['https://example.com', 'https://api.another.com'];
$origin = $_SERVER['HTTP_ORIGIN'] ?? '';
if (in_array($origin, $allowedOrigins)) {
header("Access-Control-Allow-Origin: $origin");
}
JSONP实现跨域(适用于只读GET请求)
JSONP利用script标签不受同源策略限制的特性,通过动态创建script标签请求数据。只支持GET方法,安全性较低,适合老项目兼容。
前端调用示例:
function handleResponse(data) {
console.log(data);
}
// 动态创建script请求
const script = document.createElement('script');
script.src = 'https://yourdomain.com/api.php?callback=handleResponse';
document.body.appendChild(script);
PHP后端响应处理:
$data = ['status' => 'success', 'message' => 'Hello from server'];
$callback = $_GET['callback'] ?? null;
if ($callback) {
// 输出JavaScript函数调用
echo $callback . '(' . json_encode($data) . ');';
} else {
// 普通JSON输出
header('Content-Type: application/json');
echo json_encode($data);
}
注意:JSONP无法处理错误状态码,也不支持设置请求头或发送复杂数据,仅适用于简单场景。
安全建议
跨域设置需谨慎,避免开放过多权限。
- 生产环境避免使用 Access-Control-Allow-Origin: *
- 敏感接口禁用不必要的HTTP方法
- 验证回调函数名合法性,防止XSS攻击(JSONP中)
- 结合Token认证替代Cookie传递身份信息
基本上就这些。CORS是目前主流方案,JSONP可用于兼容老旧系统。根据实际需求选择合适方式即可。
