当前位置：首页 > news >正文

PHP解决跨域请求问题的两种实用方法

news 2025/10/12 8:31:07

在Web开发中，跨域资源共享（CORS）是一个常见的问题，当前端页面与后端API不在同一个域名下时，浏览器的同源策略会阻止跨域请求。本文将介绍两种在PHP中解决跨域请求问题的实用方法。

什么是跨域问题？

跨域指的是浏览器不能执行其他网站的脚本，这是由浏览器的同源策略造成的，是浏览器对JavaScript施加的安全限制。同源策略要求协议、域名、端口三者都相同，否则即为跨域。

当出现跨域问题时，浏览器控制台通常会出现类似以下的错误：

Access to XMLHttpRequest at 'http://api.example.com/data' from origin 'http://www.example.com' has been blocked by CORS policy: No 'Access-Control-Allow-Origin' header is present on the requested resource.

方法一：使用header()函数设置CORS头

这是一种简单直接的方法，通过设置响应头来允许跨域访问。

<?php
// 设置允许跨域访问
header('Access-Control-Allow-Origin: *');
header('Access-Control-Allow-Methods: GET, POST, PUT, DELETE, OPTIONS');
header('Access-Control-Allow-Headers: X-Requested-With, Content-Type, Accept, Origin, Authorization');// 如果是OPTIONS请求，直接返回200
if ($_SERVER['REQUEST_METHOD'] == 'OPTIONS') {http_response_code(200);exit();
}// 你的API逻辑
echo json_encode(['message' => '跨域请求成功']);
?>

代码解析：

Access-Control-Allow-Origin: *：允许所有域名访问，* 表示通配符
Access-Control-Allow-Methods：指定允许的HTTP方法
Access-Control-Allow-Headers：指定允许的请求头
处理预检请求（OPTIONS）：浏览器在发送实际请求前可能会先发送一个OPTIONS请求进行预检，这里直接返回200表示允许

优缺点：

优点：实现简单，适合开发环境快速测试
缺点：允许所有域名访问存在安全隐患，不推荐在生产环境使用

方法二：针对特定域名允许跨域

这种方法更加安全，只允许指定的可信域名进行跨域访问，适合生产环境使用。

<?php
// 允许指定的域名访问
$allowed_origins = ['http://localhost:3000','https://myapp.com','https://staging.myapp.com'
];$origin = $_SERVER['HTTP_ORIGIN'] ?? '';if (in_array($origin, $allowed_origins)) {header("Access-Control-Allow-Origin: $origin");
} else {// 或者允许所有（不推荐生产环境）// header('Access-Control-Allow-Origin: *');// 生产环境建议直接拒绝未授权域名http_response_code(403);exit('不允许的跨域请求');
}header('Access-Control-Allow-Methods: GET, POST, PUT, DELETE, OPTIONS');
header('Access-Control-Allow-Headers: Content-Type, Authorization, X-Requested-With');
header('Access-Control-Allow-Credentials: true');// 处理预检请求
if ($_SERVER['REQUEST_METHOD'] == 'OPTIONS') {http_response_code(200);exit();
}// API业务逻辑
?>