跨域请求是指当前端页面的域名、端口、协议与后端接口不一致时,浏览器出于安全策略限制发起的请求,PHP作为常用的后端开发语言,在不同框架下配置跨域的方式存在差异,下面分别介绍不同场景下的配置方法。

原生PHP跨域配置
原生PHP项目中可以直接在接口入口文件添加响应头配置,允许指定来源的跨域请求。
<?php
// 允许所有来源访问,生产环境建议替换为具体的域名
header("Access-Control-Allow-Origin: *");
// 允许的请求方法
header("Access-Control-Allow-Methods: GET, POST, PUT, DELETE, OPTIONS");
// 允许的请求头
header("Access-Control-Allow-Headers: Content-Type, Authorization, X-Requested-With");
// 允许携带凭证(如Cookie)
header("Access-Control-Allow-Credentials: true");
// 处理OPTIONS预检请求
if ($_SERVER['REQUEST_METHOD'] == 'OPTIONS') {
exit;
}
// 后续接口逻辑
echo json_encode(['code' => 200, 'msg' => '接口请求成功']);
?>
Laravel框架跨域配置
Laravel可以通过中间件的方式统一处理跨域配置,避免在每个接口单独添加响应头。
第一步:创建跨域中间件
执行命令创建中间件,或者在app/Http/Middleware目录下手动创建文件。
<?php
namespace AppHttpMiddleware;
use Closure;
class CorsMiddleware
{
public function handle($request, Closure $next)
{
// 允许的请求来源,生产环境替换为具体域名
$allowedOrigin = '*';
// 允许的请求方法
$allowedMethods = 'GET, POST, PUT, DELETE, OPTIONS';
// 允许的请求头
$allowedHeaders = 'Content-Type, Authorization, X-Requested-With';
// 设置响应头
header("Access-Control-Allow-Origin: {$allowedOrigin}");
header("Access-Control-Allow-Methods: {$allowedMethods}");
header("Access-Control-Allow-Headers: {$allowedHeaders}");
header("Access-Control-Allow-Credentials: true");
// 处理OPTIONS预检请求
if ($request->getMethod() == 'OPTIONS') {
return response()->json([], 200);
}
return $next($request);
}
}
?>
第二步:注册中间件
在app/Http/Kernel.php的$middleware数组中注册该中间件,即可全局生效。
<?php
protected $middleware = [
AppHttpMiddlewareCorsMiddleware::class,
// 其他中间件
];
?>
ThinkPHP框架跨域配置
ThinkPHP可以在应用公共文件或者中间件中配置跨域,以ThinkPHP6为例。
方式一:公共文件配置
在app/common.php中添加跨域配置代码,所有接口都会自动生效。
<?php
// 跨域配置
if ($_SERVER['REQUEST_METHOD'] == 'OPTIONS') {
header("Access-Control-Allow-Origin: *");
header("Access-Control-Allow-Methods: GET, POST, PUT, DELETE, OPTIONS");
header("Access-Control-Allow-Headers: Content-Type, Authorization, X-Requested-With");
header("Access-Control-Allow-Credentials: true");
exit;
}
header("Access-Control-Allow-Origin: *");
header("Access-Control-Allow-Methods: GET, POST, PUT, DELETE, OPTIONS");
header("Access-Control-Allow-Headers: Content-Type, Authorization, X-Requested-With");
header("Access-Control-Allow-Credentials: true");
?>
方式二:中间件配置
创建跨域中间件,在app/middleware目录下创建Cors.php文件。
<?php
namespace appmiddleware;
class Cors
{
public function handle($request, Closure $next)
{
header("Access-Control-Allow-Origin: *");
header("Access-Control-Allow-Methods: GET, POST, PUT, DELETE, OPTIONS");
header("Access-Control-Allow-Headers: Content-Type, Authorization, X-Requested-With");
header("Access-Control-Allow-Credentials: true");
if ($request->isOptions()) {
return response()->code(200);
}
return $next($request);
}
}
?>
然后在app/middleware.php中注册该中间件即可全局使用。
配置注意事项
- 生产环境不建议将
Access-Control-Allow-Origin设置为*,应该替换为具体的前端域名,避免安全风险 - 如果需要携带Cookie等凭证信息,
Access-Control-Allow-Origin不能为*,必须指定具体域名,同时Access-Control-Allow-Credentials设置为true - 预检请求(OPTIONS)的处理不能遗漏,否则部分复杂请求会被浏览器拦截
- 如果接口需要支持自定义请求头,需要在
Access-Control-Allow-Headers中添加对应的请求头名称
PHP跨域配置CORS跨平台接口调用Laravel跨域ThinkPHP跨域修改时间:2026-06-23 12:03:30