如何在 PHP 中正确配置 CORS 标头以避免跨域请求错误？-js教程-PHP中文网

首页

web前端

js教程

如何在 PHP 中正确配置 CORS 标头以避免跨域请求错误？

Mary-Kate Olsen

Dec 16, 2024 am 06:15 AM

How Can I Properly Configure CORS Headers in PHP to Avoid Cross-Origin Request Errors?

跨源请求标头 (CORS) 与 PHP 标头

了解 CORS

跨源请求共享 (CORS) 是一种机制，允许浏览器可以安全地发出跨域 HTTP 请求，从而实现不同域或子域之间的通信。此机制有助于防止未经授权的资源访问，确保数据隐私和安全。

带有示例标头的 CORS 流程

为了演示 CORS 流程，让我们考虑一个简化的 PHP 脚本：

header("Access-Control-Allow-Origin: *");
header("Access-Control-Allow-Headers: *");

此脚本允许来自任何来源和任何标头的跨源请求。但是，在某些情况下，您可能会遇到如下错误消息：

Request header field X-Requested-With is not allowed by Access-Control-Allow-Headers

解决错误

要正确处理 CORS 请求，您需要显式指定允许的标头。正确响应 CORS 请求的更全面的函数是：

function cors() {
    if (isset($_SERVER['HTTP_ORIGIN'])) {
        header("Access-Control-Allow-Origin: {$_SERVER['HTTP_ORIGIN']}");
        header('Access-Control-Allow-Credentials: true');
        header('Access-Control-Max-Age: 86400');
    }

    if ($_SERVER['REQUEST_METHOD'] == 'OPTIONS') {
        if (isset($_SERVER['HTTP_ACCESS_CONTROL_REQUEST_METHOD'])) {
            header("Access-Control-Allow-Methods: GET, POST, OPTIONS");
        }
        if (isset($_SERVER['HTTP_ACCESS_CONTROL_REQUEST_HEADERS'])) {
            header("Access-Control-Allow-Headers: {$_SERVER['HTTP_ACCESS_CONTROL_REQUEST_HEADERS']}");
        }
        exit(0);
    }

    echo "You have CORS!";
}

安全说明

1.验证 HTTP_ORIGIN：
当您收到 HTTP_ORIGIN 标头时，请务必在允许请求之前将其与已批准来源的白名单进行检查。

2. X-Requested-With 验证：
上面的脚本允许任何标头，包括 X-Requested-With。这也应该得到验证，尤其是在生产环境中。

3.阅读 CORS 规范：
要全面了解 CORS，请参考官方规范：

[HTTP 访问控制](https://developer.mozilla.org/en /HTTP_access_control)
[获取标准](https://fetch.spec.whatwg.org/#http-cors-protocol)

TL;DR

CORS 支持跨源 HTTP 请求通过修改浏览器的安全策略。
响应CORS请求时，必须设置Access-Control-Allow-Origin header。
使用 Access-Control-Allow-Headers 显式指定允许的标头。
出于安全原因，始终验证 HTTP_ORIGIN 和其他相关标头。

以上是如何在 PHP 中正确配置 CORS 标头以避免跨域请求错误？的详细内容。更多信息请关注PHP中文网其他相关文章！

声明

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系admin@php.cn

在JavaScript中替换字符串字符Mar 11, 2025 am 12:07 AM

JavaScript字符串替换方法详解及常见问题解答本文将探讨两种在JavaScript中替换字符串字符的方法：在JavaScript代码内部替换和在网页HTML内部替换。在JavaScript代码内部替换字符串最直接的方法是使用replace()方法： str = str.replace("find","replace"); 该方法仅替换第一个匹配项。要替换所有匹配项，需使用正则表达式并添加全局标志g： str = str.replace(/fi

自定义Google搜索API设置教程Mar 04, 2025 am 01:06 AM

本教程向您展示了如何将自定义的Google搜索API集成到您的博客或网站中，提供了比标准WordPress主题搜索功能更精致的搜索体验。令人惊讶的是简单！您将能够将搜索限制为Y

构建您自己的Ajax Web应用程序Mar 09, 2025 am 12:11 AM

因此，在这里，您准备好了解所有称为Ajax的东西。但是，到底是什么？ AJAX一词是指用于创建动态，交互式Web内容的一系列宽松的技术。 Ajax一词，最初由Jesse J创造

示例颜色json文件Mar 03, 2025 am 12:35 AM

本文系列在2017年中期进行了最新信息和新示例。在此JSON示例中，我们将研究如何使用JSON格式将简单值存储在文件中。使用键值对符号，我们可以存储任何类型的

8令人惊叹的jQuery页面布局插件Mar 06, 2025 am 12:48 AM

利用轻松的网页布局：8个基本插件 jQuery大大简化了网页布局。本文重点介绍了简化该过程的八个功能强大的JQuery插件，对于手动网站创建特别有用

什么是这个＆＃x27;在JavaScript？Mar 04, 2025 am 01:15 AM

核心要点 JavaScript 中的 this 通常指代“拥有”该方法的对象，但具体取决于函数的调用方式。没有当前对象时，this 指代全局对象。在 Web 浏览器中，它由 window 表示。调用函数时，this 保持全局对象；但调用对象构造函数或其任何方法时，this 指代对象的实例。可以使用 call()、apply() 和 bind() 等方法更改 this 的上下文。这些方法使用给定的 this 值和参数调用函数。 JavaScript 是一门优秀的编程语言。几年前，这句话可