PHP加Access-Control-Allow-Origin需确保header()在任何输出前调用,禁用BOM,框架中用响应对象设置;带凭证时不能用*而须指定域名;预检请求需配Methods、Headers及OPTIONS处理;Web服务器可能覆盖头,应统一由PHP控制或配置always;Safari/iOS需Vary: Origin和避免缓存。PHP 后端怎么加 Access-Control-Allow-Origin 才生效加了 header('Access-Control-Allow-Origin: *') 却还是报跨域错误,大概率是响应头没在真正输出前设置,或者被其他逻辑覆盖。PHP 的 header 必须在任何实际输出(包括空格、BOM、echo、var_dump)之前调用。检查文件开头有没有 UTF-8 BOM ------ 用编辑器(如 VS Code)切换到"显示不可见字符",确认没有隐藏字节确保 header() 在 session_start()、ob_start() 或任何 echo/print 之前执行如果用了框架(如 Laravel、ThinkPHP),别直接在控制器里写 header(),优先走框架的响应构造机制(比如 Laravel 的 response()->header())若需允许带凭证(withCredentials: true),Access-Control-Allow-Origin 不能为 *,必须指定具体域名,例如 https://example.com为什么只设 Origin 不够?还要配 Access-Control-Allow-Methods 和 Access-Control-Allow-Headers浏览器预检请求(preflight,比如含 Content-Type: application/json 或自定义 header 的 POST)会先发一个 OPTIONS 请求。后端不响应对应 header,预检就失败,真实请求根本不会发出。常见漏配项:Access-Control-Allow-Methods: GET, POST, PUT, DELETE, OPTIONS ------ 方法列表要和前端实际发的一致Access-Control-Allow-Headers 必须包含前端请求中出现的所有自定义头,比如 Authorization、X-Requested-With、Content-Type(即使它是标准头,也得显式声明)记得对 OPTIONS 请求单独处理:如果是纯手工 PHP,建议在入口处拦截 $_SERVER['REQUEST_METHOD'] === 'OPTIONS' 并直接 exit,避免走到业务逻辑本地开发时 Nginx / Apache 反代下,PHP 的 header 会被覆盖吗会。Web 服务器可能重写或忽略 PHP 输出的 CORS header,尤其当配置了 add_header(Nginx)或 Header set(Apache)且未启用 always 修饰符时。 RedClaw 百度推出的手机端万能AI Agent助手
相关推荐
NiKick1 小时前
Python 爬虫实战案例 - 获取社交平台事件热度并进行影响分析m0_734949791 小时前
CSS 背景图片无法加载的常见原因与正确写法详解2301_815279521 小时前
mysql如何使用yum安装mysql_配置官方yum源与自动安装档案宝档案管理1 小时前
智慧档案管理系统是什么?档案宝功能深度解析weixin_458580121 小时前
MySQL跨版本迁移数据格式不兼容_使用mysqldump全量导出导入绩隐金2 小时前
SQL Server 性能优化实战(第七期):内存架构——缓冲池、计划缓存与内存配置Greyson12 小时前
SQL触发器在导入大文件时如何跳过_使用禁用触发器语句导入Full Stack Developme2 小时前
Hutool JSON 操作教程2401_887724502 小时前
Redis怎样统计独立访客UV_基于Set的SADD指令天然去重特性