PHP如何处理跨域问题

来源：Java编程网作者：重启一下头衔：草根站长

导读：本期聚焦于小伙伴创作的《PHP如何处理跨域问题》，敬请观看详情，探索知识的价值。以下视频、文章将为您系统阐述其核心内容与价值。如果您觉得《PHP如何处理跨域问题》有用，将其分享出去将是对创作者最好的鼓励。

跨域问题本质是浏览器的同源策略限制，当前端页面的协议、域名、端口和PHP接口不一致时，浏览器会拦截跨域请求。PHP作为后端服务，可以通过设置响应头的方式允许跨域访问，解决这类问题。

PHP如何处理跨域问题

一、最简单的跨域处理方案

如果接口只需要支持简单的GET、POST请求，不需要携带自定义头信息，只需要在PHP接口文件开头添加几个header设置即可。

<?php
// 允许所有域名跨域访问，生产环境建议替换为具体的前端域名
header("Access-Control-Allow-Origin: *");
// 允许的请求方法
header("Access-Control-Allow-Methods: GET, POST, OPTIONS");
// 允许的请求头
header("Access-Control-Allow-Headers: Content-Type, Authorization");
// 如果是OPTIONS预检请求，直接返回200
if ($_SERVER['REQUEST_METHOD'] == 'OPTIONS') {
    exit(0);
}
// 后续接口逻辑
echo json_encode(['code' => 200, 'msg' => '请求成功']);
?>

二、指定域名跨域的配置方法

使用Access-Control-Allow-Origin: *虽然方便，但会存在安全风险，生产环境建议只允许指定的前端域名访问。可以通过获取请求头中的Origin字段，判断是否在允许的域名列表中，动态设置允许的头信息。

<?php
// 允许跨域的域名列表，可自行添加
$allowOrigins = [
    'https://front.ipipp.com',
    'http://127.0.0.1:8080',
    'http://192.168.0.1:3000'
];
// 获取请求来源的Origin
$origin = isset($_SERVER['HTTP_ORIGIN']) ? $_SERVER['HTTP_ORIGIN'] : '';
// 判断Origin是否在允许列表中
if (in_array($origin, $allowOrigins)) {
    header("Access-Control-Allow-Origin: {$origin}");
    header("Access-Control-Allow-Methods: GET, POST, PUT, DELETE, OPTIONS");
    header("Access-Control-Allow-Headers: Content-Type, Authorization, X-Requested-With");
    header("Access-Control-Allow-Credentials: true"); // 允许携带Cookie
}
// 处理OPTIONS预检请求
if ($_SERVER['REQUEST_METHOD'] == 'OPTIONS') {
    exit(0);
}
// 接口逻辑
$data = ['code' => 200, 'data' => ['id' => 1, 'name' => '测试数据']];
echo json_encode($data);
?>

三、全局跨域配置（框架场景）

如果项目使用了ThinkPHP、Laravel等PHP框架，不需要在每个接口都写跨域配置，可以通过中间件或者公共入口文件统一设置。以原生PHP的公共入口文件为例，所有接口都先引入这个配置：

<?php
// cors.php 跨域配置文件
function handleCors() {
    $allowOrigins = ['https://front.ipipp.com'];
    $origin = isset($_SERVER['HTTP_ORIGIN']) ? $_SERVER['HTTP_ORIGIN'] : '';
    if (in_array($origin, $allowOrigins)) {
        header("Access-Control-Allow-Origin: {$origin}");
        header("Access-Control-Allow-Methods: GET, POST, PUT, DELETE, OPTIONS");
        header("Access-Control-Allow-Headers: Content-Type, Authorization");
        header("Access-Control-Allow-Credentials: true");
    }
    if ($_SERVER['REQUEST_METHOD'] == 'OPTIONS') {
        exit(0);
    }
}
// 调用跨域处理函数
handleCors();
?>

在其他接口文件开头引入这个配置文件即可：

<?php
require_once 'cors.php';
// 接口逻辑
echo json_encode(['code' => 200, 'msg' => '全局跨域配置生效']);
?>

四、注意事项

如果前端请求需要携带Cookie，除了设置Access-Control-Allow-Credentials: true，还需要将Access-Control-Allow-Origin设置为具体的域名，不能使用*。
OPTIONS预检请求是浏览器自动发送的，不需要处理业务逻辑，直接返回成功状态即可。
如果请求包含自定义头信息，需要在Access-Control-Allow-Headers中声明对应的头字段，否则会被浏览器拦截。
部分服务器（如Nginx）也可以在服务器配置层面设置跨域头，和PHP设置的头信息不冲突，选择一种方式配置即可。

跨域问题只是浏览器的限制，PHP本身没有跨域限制，如果是服务端之间的调用，不需要处理跨域相关问题。

以上几种PHP跨域处理方法覆盖了大部分开发场景，开发者可以根据项目的实际需求选择合适的方案，简单场景用基础header设置即可，生产环境建议用指定域名的方式提升安全性。

PHP 跨域请求 CORS header设置跨域解决方案修改时间：2026-06-07 01:54:54

免责声明：已尽一切努力确保本网站所含信息的准确性。网站内容多为原创整理与精心编撰，观点力求客观中立。本站旨在免费分享，内容仅供个人学习、研究或参考使用。若引用了第三方作品，版权归原作者所有。如内容涉及您的权益，请联系我们处理。