PHP跨域处理：CORS与JSONP实战解析

本文为PHP开发者提供了一份全面的跨域处理指南，重点解析了CORS（跨域资源共享）与JSONP两种解决方案的实现方式及潜在的安全问题，符合百度SEO。文章首先强调了CORS作为现代浏览器的推荐方案，其通过设置HTTP响应头实现灵活的权限控制，并详细阐述了CORS的关键步骤，包括动态设置Access-Control-Allow-Origin、处理OPTIONS预检请求、谨慎使用Access-Control-Allow-Credentials等。同时，文章也探讨了JSONP作为一种兼容性方案，其利用。当服务器把这个恶意字符串原样返回并作为JavaScript执行时，就会在用户的浏览器上触发XSS攻击，比如窃取Cookie、会话劫持等。

规避这些风险，最核心的一点是严格验证并过滤callback参数。我通常会使用正则表达式来确保callback参数只包含合法的函数名字符（字母、数字、下划线），拒绝任何可能包含HTML标签或特殊符号的输入。

<?php
// JSONP安全规避：严格验证回调函数名
$callback = isset($_GET['callback']) ? $_GET['callback'] : '';

// 重要的安全检查：确保回调函数名是合法的JavaScript标识符
// 避免任何非字母数字下划线的字符，防止XSS注入
if (!preg_match('/^[a-zA-Z_$][a-zA-Z0-9_$]*$/', $callback)) {
    // 如果不符合规则，直接拒绝请求或使用一个默认的安全回调名
    header("HTTP/1.1 400 Bad Request");
    echo "Invalid callback function name.";
    exit();
}

// 准备数据
$data = [
    'id' => 456,
    'name' => 'Secure JSONP',
    'message' => 'Data is secure.'
];

// 返回JSONP响应
header('Content-Type: application/javascript');
echo $callback . '(' . json_encode($data) . ');';
exit();
?>

除了XSS，JSONP还有信息泄露的风险。由于它是通过