跨域上传失败主因是cors预检被拦截,php未收到请求;需服务端正确响应options请求,设置具体origin、credentials:true及允许的headers,且php中需前置拦截options并立即退出。
跨域上传文件失败,通常不是 PHP 本身的问题,而是浏览器的 CORS 策略在请求预检(OPTIONS)阶段就拦截了,PHP 根本没收到上传数据。必须让服务端正确响应预检请求,并允许携带凭证(如 Cookie 或 Authorization 头)。
为什么 Access-Control-Allow-Origin: * 不生效
当上传请求带了 withCredentials = true(比如需要登录态),浏览器禁止使用通配符 * 响应 Access-Control-Allow-Origin;同时,如果前端设置了自定义 header(如 X-Upload-Type),就必须显式声明在 Access-Control-Allow-Headers 中。
- 必须用具体域名(如
https://your-app.com),不能用* -
Access-Control-Allow-Credentials: true必须存在,且和Origin值严格匹配 - 预检请求(
OPTIONS)必须返回200,且不执行后续 PHP 上传逻辑
PHP 如何正确处理 OPTIONS 预检请求
在接收上传的 PHP 入口文件(如 upload.php)开头,立即判断请求方法并退出,避免解析 $_FILES 或执行业务逻辑。
if ($_SERVER['REQUEST_METHOD'] === 'OPTIONS') {
header('Access-Control-Allow-Origin: https://your-frontend-domain.com');
header('Access-Control-Allow-Methods: POST, OPTIONS');
header('Access-Control-Allow-Headers: Content-Type, X-Upload-Type, Authorization');
header('Access-Control-Allow-Credentials: true');
header('Access-Control-Max-Age: 86400');
exit(0);
}
- 所有
header()必须在任何输出(包括空格、BOM)前调用 - 不要在
OPTIONS响应中输出任何内容(连换行都不行),否则会破坏 CORS 协议 - 若用 Nginx/Apache,也可在 Web 服务器层统一处理预检,减轻 PHP 负担
PHP 接收上传时还需注意哪些细节
即使 CORS 通过,$_FILES 仍可能为空——常见于 Content-Type 不是 multipart/form-data,或前端未正确构造 FormData。
立即学习“PHP免费学习笔记(深入)”;
- 前端必须用
new FormData()追加文件,不能直接JSON.stringify发送 - 不要手动设置
Content-Typeheader,让浏览器自动添加边界(boundary) - 检查
$_SERVER['CONTENT_TYPE']是否含multipart/form-data,否则可能是被代理/CDN 改写过 - PHP 的
post_max_size和upload_max_filesize需大于实际文件尺寸
真正卡住的地方往往不是 PHP 文件处理逻辑,而是预检被静默拒绝、header 写错顺序、或者前端发出了非标准的 multipart 请求。先抓包看浏览器到底发了什么,再比对服务端响应头是否完整匹配,比盲目改 php.ini 有效得多。
