如何在 PHP 中正确配置 CORS 标头以避免跨域请求错误？-js教程-PHP中文网

首页

web前端

js教程

如何在 PHP 中正确配置 CORS 标头以避免跨域请求错误？

Mary-Kate Olsen

Dec 16, 2024 am 06:15 AM

How Can I Properly Configure CORS Headers in PHP to Avoid Cross-Origin Request Errors?

跨源请求标头 (CORS) 与 PHP 标头

了解 CORS

跨源请求共享 (CORS) 是一种机制，允许浏览器可以安全地发出跨域 HTTP 请求，从而实现不同域或子域之间的通信。此机制有助于防止未经授权的资源访问，确保数据隐私和安全。

带有示例标头的 CORS 流程

为了演示 CORS 流程，让我们考虑一个简化的 PHP 脚本：

header("Access-Control-Allow-Origin: *");
header("Access-Control-Allow-Headers: *");

此脚本允许来自任何来源和任何标头的跨源请求。但是，在某些情况下，您可能会遇到如下错误消息：

Request header field X-Requested-With is not allowed by Access-Control-Allow-Headers

解决错误

要正确处理 CORS 请求，您需要显式指定允许的标头。正确响应 CORS 请求的更全面的函数是：

function cors() {
    if (isset($_SERVER['HTTP_ORIGIN'])) {
        header("Access-Control-Allow-Origin: {$_SERVER['HTTP_ORIGIN']}");
        header('Access-Control-Allow-Credentials: true');
        header('Access-Control-Max-Age: 86400');
    }

    if ($_SERVER['REQUEST_METHOD'] == 'OPTIONS') {
        if (isset($_SERVER['HTTP_ACCESS_CONTROL_REQUEST_METHOD'])) {
            header("Access-Control-Allow-Methods: GET, POST, OPTIONS");
        }
        if (isset($_SERVER['HTTP_ACCESS_CONTROL_REQUEST_HEADERS'])) {
            header("Access-Control-Allow-Headers: {$_SERVER['HTTP_ACCESS_CONTROL_REQUEST_HEADERS']}");
        }
        exit(0);
    }

    echo "You have CORS!";
}

安全说明

1.验证 HTTP_ORIGIN：
当您收到 HTTP_ORIGIN 标头时，请务必在允许请求之前将其与已批准来源的白名单进行检查。

2. X-Requested-With 验证：
上面的脚本允许任何标头，包括 X-Requested-With。这也应该得到验证，尤其是在生产环境中。

3.阅读 CORS 规范：
要全面了解 CORS，请参考官方规范：

[HTTP 访问控制](https://developer.mozilla.org/en /HTTP_access_control)
[获取标准](https://fetch.spec.whatwg.org/#http-cors-protocol)

TL;DR

CORS 支持跨源 HTTP 请求通过修改浏览器的安全策略。
响应CORS请求时，必须设置Access-Control-Allow-Origin header。
使用 Access-Control-Allow-Headers 显式指定允许的标头。
出于安全原因，始终验证 HTTP_ORIGIN 和其他相关标头。

以上是如何在 PHP 中正确配置 CORS 标头以避免跨域请求错误？的详细内容。更多信息请关注PHP中文网其他相关文章！

声明

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系admin@php.cn

了解JavaScript引擎：实施详细信息Apr 17, 2025 am 12:05 AM

理解JavaScript引擎内部工作原理对开发者重要，因为它能帮助编写更高效的代码并理解性能瓶颈和优化策略。1)引擎的工作流程包括解析、编译和执行三个阶段；2)执行过程中，引擎会进行动态优化，如内联缓存和隐藏类；3)最佳实践包括避免全局变量、优化循环、使用const和let，以及避免过度使用闭包。

Python vs. JavaScript：学习曲线和易用性Apr 16, 2025 am 12:12 AM

Python更适合初学者，学习曲线平缓，语法简洁；JavaScript适合前端开发，学习曲线较陡，语法灵活。1.Python语法直观，适用于数据科学和后端开发。2.JavaScript灵活，广泛用于前端和服务器端编程。

Python vs. JavaScript：社区，图书馆和资源Apr 15, 2025 am 12:16 AM

Python和JavaScript在社区、库和资源方面的对比各有优劣。1)Python社区友好，适合初学者，但前端开发资源不如JavaScript丰富。2)Python在数据科学和机器学习库方面强大，JavaScript则在前端开发库和框架上更胜一筹。3)两者的学习资源都丰富，但Python适合从官方文档开始，JavaScript则以MDNWebDocs为佳。选择应基于项目需求和个人兴趣。

从C/C到JavaScript：所有工作方式Apr 14, 2025 am 12:05 AM

从C/C 转向JavaScript需要适应动态类型、垃圾回收和异步编程等特点。1）C/C 是静态类型语言，需手动管理内存，而JavaScript是动态类型，垃圾回收自动处理。2）C/C 需编译成机器码，JavaScript则为解释型语言。3）JavaScript引入闭包、原型链和Promise等概念，增强了灵活性和异步编程能力。

JavaScript引擎：比较实施Apr 13, 2025 am 12:05 AM

不同JavaScript引擎在解析和执行JavaScript代码时，效果会有所不同，因为每个引擎的实现原理和优化策略各有差异。1.词法分析：将源码转换为词法单元。2.语法分析：生成抽象语法树。3.优化和编译：通过JIT编译器生成机器码。4.执行：运行机器码。V8引擎通过即时编译和隐藏类优化，SpiderMonkey使用类型推断系统，导致在相同代码上的性能表现不同。