PHP加Access-Control-Allow-Origin需确保header()在任何输出前调用,禁用BOM,框架中用响应对象设置;带凭证时不能用*而须指定域名;预检请求需配Methods、Headers及OPTIONS处理;Web服务器可能覆盖头,应统一由PHP控制或配置always;Safari/iOS需Vary: Origin和避免缓存。PHP 后端怎么加 Access-Control-Allow-Origin 才生效加了 header('Access-Control-Allow-Origin: *') 却还是报跨域错误,大概率是响应头没在真正输出前设置,或者被其他逻辑覆盖。PHP 的 header 必须在任何实际输出(包括空格、BOM、echo、var_dump)之前调用。检查文件开头有没有 UTF-8 BOM ------ 用编辑器(如 VS Code)切换到"显示不可见字符",确认没有隐藏字节确保 header() 在 session_start()、ob_start() 或任何 echo/print 之前执行如果用了框架(如 Laravel、ThinkPHP),别直接在控制器里写 header(),优先走框架的响应构造机制(比如 Laravel 的 response()->header())若需允许带凭证(withCredentials: true),Access-Control-Allow-Origin 不能为 *,必须指定具体域名,例如 https://example.com为什么只设 Origin 不够?还要配 Access-Control-Allow-Methods 和 Access-Control-Allow-Headers浏览器预检请求(preflight,比如含 Content-Type: application/json 或自定义 header 的 POST)会先发一个 OPTIONS 请求。后端不响应对应 header,预检就失败,真实请求根本不会发出。常见漏配项:Access-Control-Allow-Methods: GET, POST, PUT, DELETE, OPTIONS ------ 方法列表要和前端实际发的一致Access-Control-Allow-Headers 必须包含前端请求中出现的所有自定义头,比如 Authorization、X-Requested-With、Content-Type(即使它是标准头,也得显式声明)记得对 OPTIONS 请求单独处理:如果是纯手工 PHP,建议在入口处拦截 $_SERVER['REQUEST_METHOD'] === 'OPTIONS' 并直接 exit,避免走到业务逻辑本地开发时 Nginx / Apache 反代下,PHP 的 header 会被覆盖吗会。Web 服务器可能重写或忽略 PHP 输出的 CORS header,尤其当配置了 add_header(Nginx)或 Header set(Apache)且未启用 always 修饰符时。 RedClaw 百度推出的手机端万能AI Agent助手
相关推荐
Java面试题总结1 分钟前
PostgreSQL 性能调优:内存、I/O 与连接管理北秋,3 分钟前
Oracle 数据库基础用法CLX05055 分钟前
C#怎么实现全局异常过滤器_C#如何捕获控制器报错【核心】性野喜悲9 分钟前
python将excel中的链接转成图片并替换链接展示在excel中【将pdf的第一页插入excel并将对应信息获取到插入签名等位置】Marvel__Dead11 分钟前
基于 AI 大模型的百度旋转验证识别(通用能力极强)多加点辣也没关系12 分钟前
设计模式-享元模式Leinwin16 分钟前
OpenAI Daybreak实战指南:如何将AI安全检查嵌入你的开发流程牢七18 分钟前
Mailvelopemonkeyhlj22 分钟前
LangChain - V1.0阿里云瑶池数据库25 分钟前
如何破解多租户隔离与性能难题?PolarDB PostgreSQL实战指南