Bagaimanakah Saya Boleh Mengkonfigurasi Pengepala CORS dengan Betul dalam PHP untuk Mengelak Ralat Permintaan Silang Asal?

Pengepala Permintaan Silang Asal (CORS) dengan Pengepala PHP

Memahami CORS

Perkongsian Permintaan Silang Asal (CORS) ialah mekanisme yang membolehkan penyemak imbas untuk membuat permintaan HTTP silang asal dengan selamat, membolehkan komunikasi antara domain atau subdomain yang berbeza. Mekanisme ini membantu menghalang akses tanpa kebenaran kepada sumber, memastikan privasi dan keselamatan data.

Aliran CORS dengan Pengepala Contoh

Untuk menunjukkan aliran CORS, mari pertimbangkan skrip PHP yang dipermudahkan:

header("Access-Control-Allow-Origin: *");
header("Access-Control-Allow-Headers: *");

Skrip ini membenarkan permintaan silang asal daripada mana-mana asal dan mana-mana pengepala. Walau bagaimanapun, dalam kes tertentu, anda mungkin menghadapi mesej ralat seperti:

Request header field X-Requested-With is not allowed by Access-Control-Allow-Headers

Mengatasi Ralat

Untuk mengendalikan permintaan CORS dengan betul, anda perlu menentukan pengepala yang dibenarkan secara eksplisit. Fungsi yang lebih komprehensif yang bertindak balas dengan betul kepada permintaan CORS ialah:

function cors() {
    if (isset($_SERVER['HTTP_ORIGIN'])) {
        header("Access-Control-Allow-Origin: {$_SERVER['HTTP_ORIGIN']}");
        header('Access-Control-Allow-Credentials: true');
        header('Access-Control-Max-Age: 86400');
    }

    if ($_SERVER['REQUEST_METHOD'] == 'OPTIONS') {
        if (isset($_SERVER['HTTP_ACCESS_CONTROL_REQUEST_METHOD'])) {
            header("Access-Control-Allow-Methods: GET, POST, OPTIONS");
        }
        if (isset($_SERVER['HTTP_ACCESS_CONTROL_REQUEST_HEADERS'])) {
            header("Access-Control-Allow-Headers: {$_SERVER['HTTP_ACCESS_CONTROL_REQUEST_HEADERS']}");
        }
        exit(0);
    }

    echo "You have CORS!";
}

Nota Keselamatan

1. Sahkan HTTP_ORIGIN:
Apabila anda menerima pengepala HTTP_ORIGIN, sentiasa semaknya dengan senarai putih asal yang diluluskan sebelum membenarkan permintaan.

2. X-Requested-With Validation:
Skrip di atas membenarkan mana-mana pengepala, termasuk X-Requested-With. Ini harus disahkan juga, terutamanya dalam persekitaran pengeluaran.

3. Baca Spesifikasi CORS:
Untuk pemahaman menyeluruh tentang CORS, rujuk spesifikasi rasmi:

• [Kawalan Akses HTTP](https://developer.mozilla.org/en /HTTP_access_control)
• [Ambil Standard](https://fetch.spec.whatwg.org/#http-cors-protocol)

TL;DR

• CORS mendayakan permintaan HTTP silang asal dengan mengubah suai dasar keselamatan penyemak imbas.
• Apabila membalas permintaan CORS, anda mesti menetapkan Pengepala Access-Control-Allow-Origin.
• Nyatakan pengepala yang dibenarkan secara eksplisit menggunakan Access-Control-Allow-Headers.
• Sentiasa sahkan HTTP_ORIGIN dan pengepala lain yang berkaitan atas sebab keselamatan.

Atas ialah kandungan terperinci Bagaimanakah Saya Boleh Mengkonfigurasi Pengepala CORS dengan Betul dalam PHP untuk Mengelak Ralat Permintaan Silang Asal?. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!