PHP加Access-Control-Allow-Origin需确保header()在任何输出前调用,禁用BOM,框架中用响应对象设置;带凭证时不能用*而须指定域名;预检请求需配Methods、Headers及OPTIONS处理;Web服务器可能覆盖头,应统一由PHP控制或配置always;Safari/iOS需Vary: Origin和避免缓存。PHP 后端怎么加 Access-Control-Allow-Origin 才生效加了 header('Access-Control-Allow-Origin: *') 却还是报跨域错误,大概率是响应头没在真正输出前设置,或者被其他逻辑覆盖。PHP 的 header 必须在任何实际输出(包括空格、BOM、echo、var_dump)之前调用。检查文件开头有没有 UTF-8 BOM ------ 用编辑器(如 VS Code)切换到"显示不可见字符",确认没有隐藏字节确保 header() 在 session_start()、ob_start() 或任何 echo/print 之前执行如果用了框架(如 Laravel、ThinkPHP),别直接在控制器里写 header(),优先走框架的响应构造机制(比如 Laravel 的 response()->header())若需允许带凭证(withCredentials: true),Access-Control-Allow-Origin 不能为 *,必须指定具体域名,例如 https://example.com为什么只设 Origin 不够?还要配 Access-Control-Allow-Methods 和 Access-Control-Allow-Headers浏览器预检请求(preflight,比如含 Content-Type: application/json 或自定义 header 的 POST)会先发一个 OPTIONS 请求。后端不响应对应 header,预检就失败,真实请求根本不会发出。常见漏配项:Access-Control-Allow-Methods: GET, POST, PUT, DELETE, OPTIONS ------ 方法列表要和前端实际发的一致Access-Control-Allow-Headers 必须包含前端请求中出现的所有自定义头,比如 Authorization、X-Requested-With、Content-Type(即使它是标准头,也得显式声明)记得对 OPTIONS 请求单独处理:如果是纯手工 PHP,建议在入口处拦截 $_SERVER['REQUEST_METHOD'] === 'OPTIONS' 并直接 exit,避免走到业务逻辑本地开发时 Nginx / Apache 反代下,PHP 的 header 会被覆盖吗会。Web 服务器可能重写或忽略 PHP 输出的 CORS header,尤其当配置了 add_header(Nginx)或 Header set(Apache)且未启用 always 修饰符时。 RedClaw 百度推出的手机端万能AI Agent助手
相关推荐
伊玛目的门徒2 小时前
多线程韩漫爬虫下载器zhangchaoxies2 小时前
如何在CSS中正确加载本地JPG背景图片Hello未来2 小时前
llamafactory 的使用和安装阿坤带你走近大数据2 小时前
Oracle报错-锁问题旺仔小拳头..2 小时前
JDBC 基础: API、SQL 注入问题,事务、连接池烟话62 小时前
C# 内存机制详解:值类型、引用类型与 String 的不可变性NineData2 小时前
玖章算术NineData成功入选杭州市“新雏鹰”企业Javatutouhouduan2 小时前
深入学习JVM底层原理:JVM源码剖析与实例详解z4424753262 小时前
CSS如何实现元素悬浮在页面底部_利用fixed定位与底部间距