php 5.4 之前 header() 不能重复调用,且必须在任何输出前执行;否则报“headers already sent”警告;需清除bom、空白、注释及多余换行,跨域头须置于首行有效代码处。
header() 函数在 PHP 5.4 之前不能重复调用?得先确认是否已发送响应
旧版 PHP(如 5.2/5.3)对 header() 的容错性低,一旦有输出(哪怕空格、BOM、echo 前的换行),就会报 Warning: Cannot modify header information - headers already sent。跨域头必须在任何输出前设置,否则直接失效。
- 检查 PHP 文件开头是否有 UTF-8 BOM(用编辑器「以无 BOM 的 UTF-8 编码」保存)
- 确保
header("Access-Control-Allow-Origin: ...")出现在第一行有效代码,且前面**没有任何空白、注释或?><?php闭合标签残留** - 禁用
output_buffering的旧环境(php.ini中为Off)更易出问题,可临时加ob_start()开头兜底,但需注意内存占用
OPTIONS 预检请求在 PHP 5.3 及以下必须手动拦截并 exit,不能依赖框架中间件
现代框架的中间件机制(如 Laravel 的 CorsMiddleware)在 PHP 5.3 下不可用,必须手写预检逻辑。浏览器发 OPTIONS 请求时,旧版 PHP 不会自动识别为“合法路由”,若没显式处理,常返回 404 或 500,导致后续请求被静默拦截。
- 把预检判断放在所有业务逻辑最顶部:
if ($_SERVER['REQUEST_METHOD'] === 'OPTIONS') { header('HTTP/1.1 200 OK'); exit; } - 务必调用
exit(不能只return),否则脚本继续执行可能输出意外内容,破坏预检响应格式 - 不要漏掉
Access-Control-Allow-Headers—— 旧版浏览器(如 IE9)对缺失项更敏感,建议固定写全:Content-Type, X-Requested-With, Authorization
动态允许多源时,$_SERVER['HTTP_ORIGIN'] 在某些 CGI/FastCGI 环境下为空?要加兜底判断
PHP 5.3 常部署在老旧 Apache + mod_php 或 CGI 模式下,$_SERVER['HTTP_ORIGIN'] 可能未被正确注入,导致动态白名单失效,默认回退到 * 或完全不设头。
- 先做非空校验:
$origin = isset($_SERVER['HTTP_ORIGIN']) && $_SERVER['HTTP_ORIGIN'] ? $_SERVER['HTTP_ORIGIN'] : ''; - 允许列表建议硬编码,避免读配置文件引入额外 I/O 或编码问题:
$allowed = array('https://a.com', 'http://localhost:8080'); - 匹配后必须同时设置
Access-Control-Allow-Origin和Vary: Origin,否则 CDN 或代理可能缓存错误响应
带 Cookie 的跨域请求(withCredentials: true)在 PHP 5.2–5.3 中需特别注意 credentials 与 origin 的互斥规则
旧版 PHP 自身不校验 CORS 规则,但浏览器严格执行:若前端设了 withCredentials: true,后端就不能用 Access-Control-Allow-Origin: *,否则请求直接被拒绝——这个限制和 PHP 版本无关,但老项目常忽略。
立即学习“PHP免费学习笔记(深入)”;
- 必须用具体域名(如
https://myapp.com)替换*,且该域名要和前端origin完全一致(协议、端口、大小写) -
Access-Control-Allow-Credentials: true必须和Access-Control-Allow-Origin同时存在,缺一不可 - Apache 下若用了
mod_security,可能拦截含Cookie头的 OPTIONS 请求,需检查日志中是否有403或modsec相关记录
旧版 PHP 跨域不是“加几行 header 就完事”,而是要把输出控制、环境兼容、浏览器规则三者拧在一起调。最容易翻车的是:以为预检过了就万事大吉,结果发现 IE8/9 根本不支持 CORS,只能切 JSONP;或者 Origin 判空后 fallback 到 *,却忘了带凭证时这等于自废武功。
