delete请求失败的根本原因是options预检未通过,需确保web服务器将options转发至php、php入口正确响应预检头、origin动态校验且不与credentials冲突、框架显式注册options路由。
DELETE请求被浏览器拦截,因为预检失败
浏览器对 DELETE 这类非简单方法会先发 OPTIONS 预检请求,后端没正确响应就会直接卡住,连真实请求都发不出。常见现象是 Network 面板里只看到 404 或 405 的 OPTIONS 请求,控制台报错 No 'Access-Control-Allow-Methods' header 或 Response to preflight request doesn't pass access control check。
关键不是“加个 Header 就行”,而是必须让 OPTIONS 请求能被 PHP 脚本捕获并返回合法响应——不能靠 Apache/Nginx 仅静态返回,尤其当路由由 PHP 框架(如 Laravel、ThinkPHP)接管时,OPTIONS 往往根本进不到逻辑层。
- 检查 Web 服务器是否把
OPTIONS转发给了 PHP:Apache 要确认mod_rewrite规则没 excludeOPTIONS;Nginx 要确保try_files或fastcgi_pass覆盖了该方法 - 在入口文件(如
index.php)最开头手动处理预检:if ($_SERVER['REQUEST_METHOD'] === 'OPTIONS') { header('Access-Control-Allow-Origin: https://your-frontend.com'); header('Access-Control-Allow-Methods: GET, POST, PUT, DELETE, OPTIONS'); header('Access-Control-Allow-Headers: Content-Type, Authorization'); header('Access-Control-Allow-Credentials: true'); exit; } -
Access-Control-Allow-Origin不能设为*同时又开Access-Control-Allow-Credentials: true,否则浏览器直接拒绝
PHP中header()调用时机导致跨域失效
一旦有任意输出(空格、BOM、echo、未关闭的 PHP 标签后的换行),header() 就会失败,跨域头压根不会发出去。这种问题在 Windows 编辑器保存 UTF-8 BOM 文件时极隐蔽,错误信息往往只是 Cannot modify header information,但没人告诉你源头是 BOM。
- 用
hexdump -C index.php | head检查文件开头是否有ef bb bf(BOM) - 所有 PHP 文件统一用
UTF-8 without BOM编码保存 - 避免在
header()前有任何输出:关闭display_errors,禁用php.ini中的output_buffering = Off时更要小心 - 框架项目中,别只在控制器里写
header(),得确保它在响应真正输出前执行——Laravel 可用中间件,原生 PHP 建议统一在入口或基类中注入
DELETE请求携带 Cookie 或 Authorization 时的细节差异
带凭证的跨域请求(比如登录态传 Cookie 或 Bearer token)不仅要求后端返回 Access-Control-Allow-Credentials: true,还强制要求 Access-Control-Allow-Origin 是具体域名,不能是通配符;同时前端 fetch 必须显式设 credentials: 'include',否则浏览器根本不会发 Cookie。
立即学习“PHP免费学习笔记(深入)”;
- 前端示例:
fetch('/api/item/123', { method: 'DELETE', credentials: 'include', headers: { 'Authorization': 'Bearer abc123' } }); - 后端必须严格匹配 Origin:如果前端是
https://app.example.com,就只能回Access-Control-Allow-Origin: https://app.example.com,不能写https://*.example.com(浏览器不认) - Apache 的
Header set Access-Control-Allow-Origin "*"在带凭证时会失效,必须用SetEnvIfNoCase动态匹配 Origin 并重写 Header - PHP 中建议从
$_SERVER['HTTP_ORIGIN']取值做白名单校验,而不是硬编码——防止被恶意站点复用你的跨域许可
框架路由没注册OPTIONS导致405错误
很多 PHP 框架默认不自动注册 OPTIONS 路由,尤其是 RESTful 资源路由(如 Laravel 的 Route::resource())。结果就是预检请求 405 Method Not Allowed,根本走不到跨域逻辑。
- Laravel:在
routes/api.php显式补一条Route::options('{any?}', function () { return response()->noContent(); })->where('any', '.*');并确保它在资源路由之前注册 - ThinkPHP:在路由定义里加上
->method('OPTIONS'),或全局配置'url_route_must' => false避免方法限制拦截 - 原生项目:用
$_SERVER['REQUEST_URI']和$_SERVER['REQUEST_METHOD']做简易路由分发时,记得把OPTIONS当作合法方法兜底处理 - 别依赖框架的“自动 CORS 中间件”——有些只处理主请求,不碰预检;有些默认关掉
OPTIONS支持
真正的难点不在“怎么加头”,而在于预检请求是否真能抵达 PHP、是否被同一套逻辑处理、以及凭证场景下 Origin 的动态校验是否严密。漏掉任一环,DELETE 就永远卡在 OPTIONS 那一步。
