跨域问题需通过服务端设置CORS响应头解决,主流PHP框架如Laravel、Slim、ThinkPHP均支持中间件统一配置Access-Control-Allow-Origin等头部信息,并需特别处理OPTIONS预检请求以确保安全合规。
在开发前后端分离的Web应用时,跨域问题是一个常见挑战。当浏览器发起请求的目标资源与当前页面所在域不同时(协议、域名、端口任一不同),就会触发同源策略限制,导致请求被阻止。PHP框架虽然运行在服务端,但需要通过设置响应头来主动允许跨域访问。以下是几种主流PHP框架中处理跨域问题的常用方法和代码示例。
使用中间件统一设置CORS头
现代PHP框架如Laravel、Slim、ThinkPHP等都支持中间件机制,可以在请求到达控制器之前添加跨域相关的HTTP响应头。
Laravel 示例:
// app/Http/Middleware/CorsMiddleware.php
namespace App\Http\Middleware;
use Closure;
class CorsMiddleware
{
public function handle($request, Closure $next)
{
return $next($request)
->header('Access-Control-Allow-Origin', '*')
->header('Access-Control-Allow-Methods', 'GET, POST, PUT, DELETE, OPTIONS')
->header('Access-Control-Allow-Headers', 'Content-Type, Authorization');
}
}
注册中间件到全局或特定路由:
立即学习“PHP免费学习笔记(深入)”;
// app/Http/Kernel.php
protected $middleware = [
// 其他中间件...
\App\Http\Middleware\CorsMiddleware::class,
];
处理预检请求(OPTIONS)
对于包含自定义头或非简单方法(如PUT、DELETE)的请求,浏览器会先发送一个OPTIONS请求进行预检。服务器必须正确响应该请求,否则实际请求不会发出。
Slim Framework 示例:
$app = new \Slim\App;
$app->options('/{routes:.+}', function ($request, $response, $args) {
return $response
->withHeader('Access-Control-Allow-Origin', '*')
->withHeader('Access-Control-Allow-Headers', 'X-Requested-With, Content-Type, Accept, Origin, Authorization')
->withHeader('Access-Control-Allow-Methods', 'GET, POST, PUT, DELETE, OPTIONS');
});
$app->add(function ($req, $res, $next) {
$response = $next($req, $res);
return $response
->withHeader('Access-Control-Allow-Origin', '*')
->withHeader('Access-Control-Allow-Headers', 'Content-Type, Authorization')
->withHeader('Access-Control-Allow-Methods', 'GET, POST, PUT, DELETE, OPTIONS');
});
</app>
ThinkPHP中的跨域处理
ThinkPHP 6.x同样支持中间件方式处理跨域。
// app/middleware.php
return [
// 跨域中间件
\app\middleware\Cors::class,
];
创建Cors中间件:
// app/middleware/Cors.php
namespace app\middleware;
class Cors
{
public function handle($request, \Closure $next)
{
if ($request->isOptions()) {
$response = response()->code(204);
$response->header([
'Access-Control-Allow-Origin' => '*',
'Access-Control-Allow-Credentials' => 'true',
'Access-Control-Allow-Methods' => 'GET, POST, PUT, DELETE, PATCH, OPTIONS',
'Access-Control-Allow-Headers' => 'Origin, Content-Type, Token, X-Requested-With'
]);
return $response;
}
return $next($request)->header([
'Access-Control-Allow-Origin' => '*',
'Access-Control-Allow-Credentials' => 'true',
'Access-Control-Allow-Methods' => 'GET, POST, PUT, DELETE, PATCH',
'Access-Control-Allow-Headers' => 'Origin, Content-Type, Token, X-Requested-With'
]);
}
}
基础PHP项目中的快速解决方法
如果使用原生PHP或小型框架,可以直接在入口文件或每个接口前添加跨域头。
// api/index.php 或公共入口
header("Access-Control-Allow-Origin: *");
header("Access-Control-Allow-Methods: GET, POST, PUT, DELETE, OPTIONS");
header("Access-Control-Allow-Headers: Content-Type, Authorization, X-Requested-With");
if ($_SERVER['REQUEST_METHOD'] === 'OPTIONS') {
http_response_code(200);
exit();
}
注意:生产环境中建议将*替换为具体的前端域名,避免安全风险。
基本上就这些。跨域问题本质是浏览器行为,服务端只需按规范返回正确的CORS头即可。关键在于统一处理OPTIONS请求,并确保每次响应都带上必要的跨域头信息。使用中间件是最推荐的方式,便于维护和复用。
