PHP跨域請求：CORS處理指南

跨域請求問題可通過設(shè)置cors頭解決，具體步驟如下：1. 在php腳本中添加access-control-allow-origin指定允許的域名或使用*（僅限開發(fā)環(huán)境）；2. 設(shè)置Access-control-allow-methods定義允許的http方法；3. 配置access-control-allow-headers指定允許的請求頭；4. 確保服務(wù)器啟用必要模塊如apache的mod_headers或正確配置反向代理；5. 正確處理options預(yù)檢請求；6. 若需攜帶Cookie，設(shè)置access-control-allow-credentials為true，并在前端將withcredentials設(shè)為true或使用fetch api的credentials選項(xiàng)；7. 優(yōu)先選擇cors而非jsonp以獲得更好的安全性和功能支持。

跨域請求，簡單來說，就是你的網(wǎng)頁想從另一個域名請求數(shù)據(jù)。CORS（跨域資源共享）是瀏覽器的一種安全機(jī)制，用來限制這種請求。但有時候，我們需要跨域請求，CORS就成了攔路虎。這篇指南就是教你如何馴服這只“攔路虎”，讓你的php應(yīng)用能夠安全地進(jìn)行跨域請求。

允許跨域請求，你需要設(shè)置一些HTTP頭。在PHP中，這通常意味著在你的API或數(shù)據(jù)接口腳本中添加一些header()函數(shù)調(diào)用。

<?php header("Access-Control-Allow-Origin: *"); // 允許所有域名訪問，生產(chǎn)環(huán)境不推薦 header("Content-Type: application/json; charset=UTF-8"); // 設(shè)置返回數(shù)據(jù)類型 header("Access-Control-Allow-Methods: GET,POST,PUT,delete,OPTIONS"); // 允許的請求方法 header("Access-Control-Allow-Headers: Content-Type, Access-Control-Allow-Headers, Authorization, X-Requested-With"); // 允許的請求頭

這段代碼是核心。Access-Control-Allow-Origin: *允許任何域名訪問，這在開發(fā)階段很方便，但在生產(chǎn)環(huán)境中，最好指定允許的域名，例如Access-Control-Allow-Origin: https://yourdomain.com。 Access-Control-Allow-Methods定義了允許的HTTP方法，例如GET、POST等。 Access-Control-Allow-Headers定義了允許的請求頭。

立即學(xué)習(xí)“PHP免費(fèi)學(xué)習(xí)筆記（深入）”；

為什么我的CORS設(shè)置不起作用？

這可能是CORS配置中最常見的問題了。首先，檢查你的php腳本是否正確地發(fā)送了CORS頭。可以使用瀏覽器的開發(fā)者工具（通常按F12打開）查看Network選項(xiàng)卡，檢查請求的響應(yīng)頭是否包含Access-Control-Allow-Origin。

另一個常見原因是服務(wù)器配置問題。例如，apache服務(wù)器可能需要啟用mod_headers模塊才能正確發(fā)送CORS頭。你需要在Apache的配置文件中確保LoadModule headers_module modules/mod_headers.so這一行沒有被注釋掉。

還有一種情況是，如果你的服務(wù)器使用了反向代理（如nginx），那么反向代理也需要配置CORS頭。否則，瀏覽器看到的響應(yīng)頭可能不包含CORS信息，導(dǎo)致跨域請求失敗。

最后，別忘了OPTIONS請求。瀏覽器在發(fā)起跨域請求之前，通常會先發(fā)送一個OPTIONS請求，用于檢測服務(wù)器是否支持CORS。如果你的服務(wù)器沒有正確處理OPTIONS請求，CORS也會失敗。你可以通過檢查服務(wù)器的日志來確認(rèn)是否收到了OPTIONS請求，并確保你的服務(wù)器返回了正確的CORS頭。

如何處理復(fù)雜的CORS場景，例如需要攜帶Cookie的跨域請求？

攜帶Cookie的跨域請求需要額外的配置。首先，你需要設(shè)置Access-Control-Allow-Credentials: true頭。這意味著你的PHP腳本需要添加：

header("Access-Control-Allow-Credentials: true");

其次，Access-Control-Allow-Origin不能設(shè)置為*，必須指定具體的域名。這是因?yàn)?會禁用Access-Control-Allow-Credentials。

header("Access-Control-Allow-Origin: https://yourdomain.com");

最后，在前端發(fā)起請求時，需要設(shè)置withCredentials為true。例如，在使用XMLHttpRequest時：

var xhr = new XMLHttpRequest(); xhr.withCredentials = true; xhr.open("GET", "https://api.example.com/data"); xhr.send();

或者在使用Fetch API時：

fetch('https://api.example.com/data', {   credentials: 'include' // 或者 'same-origin' }) .then(response => response.json()) .then(data => console.log(data));

這些步驟缺一不可。如果缺少任何一步，瀏覽器都會拒絕跨域請求，并拋出CORS錯誤。

CORS和JSONP有什么區(qū)別？我應(yīng)該選擇哪個？

CORS和JSONP都是解決跨域問題的方案，但它們的工作原理和適用場景有所不同。

CORS是現(xiàn)代瀏覽器支持的標(biāo)準(zhǔn)跨域解決方案。它通過設(shè)置HTTP頭來允許或拒絕跨域請求。CORS的優(yōu)點(diǎn)是功能強(qiáng)大，支持各種HTTP方法（GET、POST、PUT、DELETE等），并且可以攜帶Cookie。

JSONP是一種較老的跨域解決方案，它利用了<script>標(biāo)簽可以跨域加載資源的特性。JSONP的原理是動態(tài)創(chuàng)建<script>標(biāo)簽，并通過URL參數(shù)傳遞回調(diào)函數(shù)名。服務(wù)器返回的數(shù)據(jù)會被包裹在回調(diào)函數(shù)中，從而實(shí)現(xiàn)跨域數(shù)據(jù)傳輸。JSONP只支持GET請求，并且存在安全風(fēng)險，因?yàn)樗试S服務(wù)器執(zhí)行任意JavaScript代碼。</script>

選擇哪個方案取決于你的具體需求。如果你的瀏覽器支持CORS，并且你需要使用POST等HTTP方法，或者需要攜帶Cookie，那么CORS是更好的選擇。如果你的瀏覽器不支持CORS，或者你只需要進(jìn)行簡單的GET請求，那么JSONP可以作為一種備選方案。但請注意JSONP的安全風(fēng)險，并盡量避免使用它。

總的來說，CORS是更現(xiàn)代、更安全的跨域解決方案，應(yīng)該優(yōu)先選擇。只有在CORS不可用或者不適用時，才考慮使用JSONP。