最稳妥的方式是使用 request()->getHost() 或 url()->to('/') 提取域名;前者获取含端口的原始 Host(如 example.com:8080),后者返回完整 URL(如 https://example.com/)便于解析纯域名,二者均比 $_SERVER['HTTP_HOST'] 更安全可靠。
直接用 request()->getHost() 或 url()->to('/') 截取域名最稳妥,别碰 $_SERVER['HTTP_HOST'] —— 它可能被篡改,且在 CLI 或测试环境下根本不可用。
用 request()->getHost() 拿原始 Host(含端口)
这是 Laravel 封装过的安全入口,底层做了请求上下文校验,比裸读 $_SERVER 可靠得多。它返回的是 HTTP 请求头里的 Host 字段值,比如 example.com:8080。
- 如果只要纯域名(不含端口),得手动处理:
parse_url(request()->getHost(), PHP_URL_HOST) ?? request()->getHost() - 注意:开发时用 Valet / Sail / Homestead 本地环境,
getHost()返回的是你配的本地域名(如myapp.test),不是localhost - 生产环境反向代理(Nginx + PHP-FPM)下,确保 Nginx 传了
Host头:proxy_set_header Host $host;,否则可能拿到127.0.0.1
用 url()->to('/') 提取完整 URL 再解析
适合需要带协议的完整域名场景(比如生成邮件链接),url()->to('/') 返回类似 https://example.com/ 的字符串,再用 parse_url() 提取即可。
-
parse_url(url()->to('/'), PHP_URL_HOST)→example.com - 这个方式自动适配
APP_URL配置和当前请求协议,比硬编码更健壮 - 但要注意:如果
APP_URL配错了(比如写成http://localhost),所有地方都会错,排查起来比getHost()更隐蔽
别用 $_SERVER['HTTP_HOST'] 的三个原因
虽然它看起来最“直接”,但在 Laravel 场景里问题明显:
立即学习“PHP免费学习笔记(深入)”;
- HTTP 头可被客户端任意伪造,
curl -H "Host: evil.com" https://yoursite.com就能触发 - Laravel 的
Request实例默认会过滤并标准化 Host,而$_SERVER是原始未处理数据 - 单元测试或 Artisan 命令中,
$_SERVER['HTTP_HOST']根本不存在,会报 Notice,request()->getHost()则返回空或 fallback 值
真正容易被忽略的是「多租户」或「子域名隔离」场景:比如用 tenant.example.com 区分租户,这时不能只取 Host,还得结合路由绑定或中间件做域名白名单校验——getHost() 给的是原始输入,后续逻辑得自己兜底。
