PHP加Access-Control-Allow-Origin需确保header()在任何输出前调用,禁用BOM,框架中用响应对象设置;带凭证时不能用*而须指定域名;预检请求需配Methods、Headers及OPTIONS处理;Web服务器可能覆盖头,应统一由PHP控制或配置always;Safari/iOS需Vary: Origin和避免缓存。PHP 后端怎么加 Access-Control-Allow-Origin 才生效加了 header('Access-Control-Allow-Origin: *') 却还是报跨域错误,大概率是响应头没在真正输出前设置,或者被其他逻辑覆盖。PHP 的 header 必须在任何实际输出(包括空格、BOM、echo、var_dump)之前调用。检查文件开头有没有 UTF-8 BOM ------ 用编辑器(如 VS Code)切换到"显示不可见字符",确认没有隐藏字节确保 header() 在 session_start()、ob_start() 或任何 echo/print 之前执行如果用了框架(如 Laravel、ThinkPHP),别直接在控制器里写 header(),优先走框架的响应构造机制(比如 Laravel 的 response()->header())若需允许带凭证(withCredentials: true),Access-Control-Allow-Origin 不能为 *,必须指定具体域名,例如 https://example.com为什么只设 Origin 不够?还要配 Access-Control-Allow-Methods 和 Access-Control-Allow-Headers浏览器预检请求(preflight,比如含 Content-Type: application/json 或自定义 header 的 POST)会先发一个 OPTIONS 请求。后端不响应对应 header,预检就失败,真实请求根本不会发出。常见漏配项:Access-Control-Allow-Methods: GET, POST, PUT, DELETE, OPTIONS ------ 方法列表要和前端实际发的一致Access-Control-Allow-Headers 必须包含前端请求中出现的所有自定义头,比如 Authorization、X-Requested-With、Content-Type(即使它是标准头,也得显式声明)记得对 OPTIONS 请求单独处理:如果是纯手工 PHP,建议在入口处拦截 $_SERVER'REQUEST_METHOD' === 'OPTIONS' 并直接 exit,避免走到业务逻辑本地开发时 Nginx / Apache 反代下,PHP 的 header 会被覆盖吗会。Web 服务器可能重写或忽略 PHP 输出的 CORS header,尤其当配置了 add_header(Nginx)或 Header set(Apache)且未启用 always 修饰符时。 RedClaw 百度推出的手机端万能AI Agent助手
相关推荐
AC赳赳老秦11 分钟前
OpenClaw+Power Apps 实战:自动生成 Power Apps 应用、连接 Excel 数据源茉莉玫瑰花茶2 小时前
综合案例 - AI 智能租房助手 [ 5 ]ywl4708120872 小时前
jwt生产token,简单版helloworld文艺倾年2 小时前
【强化学习】强化学习基本概念,20W字总结(一)宸丶一2 小时前
Day 13:持久化记忆 - 让 Agent 拥有长期记忆器灵科技2 小时前
AI视频工具实测:Seedance/可灵/HappyHorse谁最能打?码云骑士2 小时前
13-列表append的底层真相(上)-listobject源码中的预分配策略huangdong_2 小时前
京东商品图片视频批量下载与m3u8视频合并技术完整实现方案倒流时光三十年2 小时前
PostgreSQL CASE 条件表达式详解浦信仿真大讲堂3 小时前
达索系统SIMULIA Abaqus 2026接触和约束的增强新功能介绍