PHP CORS 解決跨域問題 在前端開發中，前后端分離成為主流，前端會通過 ajax、fetch 等方式，請求后端 API，獲取數據，而在進行這一過程中，卻會出現跨域問題。CORS 就是用來解決這一問題的一種機制，本文介紹 PHP 中如何處理 CORS 跨域問題。 一、同源政策 同源政策是瀏覽器最為核心的一項安全功能，是萬維網的基礎安全政策，它能夠在瀏覽器和網站之間維持一道安全隔離屏障。同源政策規定了只有當兩個 URL 的兩個核心部分完全相同，才會被認為是同源，即同協議、同域名、同端口，否則就會產生跨域問題。 舉個例子，比如說在前端中我們有一個請求 API 的代碼： ```php var xhr = new XMLHttpRequest(); xhr.withCredentials = true; xhr.open("GET", "https://api.example.com/user"); xhr.setRequestHeader("Content-Type", "application/json"); xhr.onreadystatechange = function () { if (xhr.readyState === 4 && xhr.status === 200) { console.log(xhr.responseText); } }; xhr.send(); ``` 請求的是一個 https://api.example.com/user 接口，而當前我們的域名為 https://www.example.com，這便是跨域請求，會被瀏覽器攔截。 二、CORS 跨域請求是受到瀏覽器同源策略的限制，而 CORS（Cross-Origin Resource Sharing） 即跨域資源共享，它使用額外的 HTTP 頭來告訴瀏覽器，當前網站的訪問者是否可以被訪問到目標網站上的資源。CORS 會檢查多個頭文件，以判斷是否允許當前跨域請求，其中比較常用的是 Origin、Access-Control-Allow-Origin、Access-Control-Request-Method 等。 舉個例子，比如說當前我們前端代碼請求了一個 api.example.com 的接口，并且該接口設置了 Access-Control-Allow-Origin 為當前頁面的域名： ```php header('Access-Control-Allow-Origin: https://www.example.com'); header('Access-Control-Allow-Methods: GET,POST,PUT,DELETE'); header('Access-Control-Allow-Credentials: true'); ``` 三、PHP CORS 實現 跨域請求得到了允許，但在 PHP 中，也需要進行相應的請求處理，防止攻擊或泄露用戶信息等問題。 ```php // 允許任何來源跨域請求 header("Access-Control-Allow-Origin: *"); // 允許跨域請求發送 cookie 等信息 header('Access-Control-Allow-Credentials: true'); // 允許的 headers 列表 header('Access-Control-Allow-Headers: Origin, X-Requested-With, Content-Type, Accept, Authorization'); // 允許的 methods 列表 header('Access-Control-Allow-Methods: GET,POST,PUT,DELETE'); // OPTIONS 請求不進行后續操作，直接 200 OK 返回即可 if ($_SERVER['REQUEST_METHOD'] == 'OPTIONS') { header('HTTP/1.1 200 OK'); exit; } ``` 通過以上代碼，PHP 便可以實現基本的 CORS 跨域請求。 四、總結 CORS 跨域請求是前后端分離開發中常見的一種問題，需要開發人員了解相關知識，理解同源政策和跨域機制，以及在 PHP 中實現 CORS 處理，保護接口訪問的安全，同時優化用戶體驗，提高應用性能。