PHP跨域请求失败怎么解决

哈喽！今天心血来潮给大家带来了《PHP跨域请求接收失败解决方法》，想必大家应该对文章都不陌生吧，那么阅读本文就都不会很困难，以下内容主要涉及到，若是你正在学习文章，千万别错过这篇文章~希望能帮助到你！

PHP后端收不到跨域请求，本质是浏览器在预检（OPTIONS）阶段拦截或服务端未正确返回CORS响应头；需确保Web服务器处理OPTIONS请求、PHP对所有接口（含OPTIONS）统一设置Access-Control-Allow-*头，并严格校验Origin、匹配Credentials与Headers。

PHP后端收不到跨域请求，通常不是PHP本身“拒绝”，而是浏览器在发请求前就卡在预检（OPTIONS）阶段，或者PHP没正确响应CORS头导致浏览器直接拦截响应。关键得让服务端对OPTIONS请求有响应，并在所有目标接口返回合法的Access-Control-Allow-*头。

为什么OPTIONS预检失败？

当请求含Content-Type: application/json、自定义Header或非简单方法（如PATCH），浏览器会先发一个OPTIONS请求探路。如果PHP没处理它，Nginx/Apache可能直接返回405或500，前端就看不到后续请求。

• 检查Web服务器日志：是否出现OPTIONS 405 Not Allowed？
• 确认PHP脚本是否执行到了——很多框架/路由默认不匹配OPTIONS方法
• Apache需开启mod_rewrite并允许OPTIONS；Nginx需显式配置location捕获OPTIONS

PHP里怎么加CORS响应头？

不能只在业务逻辑里加header()，必须确保所有路径（包括OPTIONS）都触发。最稳妥是统一前置处理：

if ($_SERVER['REQUEST_METHOD'] === 'OPTIONS') {
    header('Access-Control-Allow-Origin: https://your-frontend.com');
    header('Access-Control-Allow-Methods: GET, POST, PUT, DELETE, OPTIONS');
    header('Access-Control-Allow-Headers: Content-Type, Authorization, X-Requested-With');
    header('Access-Control-Allow-Credentials: true');
    header('Access-Control-Max-Age: 86400');
    exit(0);
}

// 所有非OPTIONS请求也必须带这些头（Origin需动态校验）
$origin = $_SERVER['HTTP_ORIGIN'] ?? '';
$allowed_origins = ['https://your-frontend.com', 'http://localhost:3000'];
if (in_array($origin, $allowed_origins)) {
    header("Access-Control-Allow-Origin: $origin");
}
header('Access-Control-Allow-Methods: GET, POST, PUT, DELETE, OPTIONS');
header('Access-Control-Allow-Headers: Content-Type, Authorization, X-Requested-With');
header('Access-Control-Allow-Credentials: true');

• Access-Control-Allow-Origin不能设为* + Access-Control-Allow-Credentials: true，否则浏览器报错
• Access-Control-Allow-Headers必须包含前端实际发送的自定义Header名，比如X-Api-Key
• 如果用$_POST收不到application/json数据，记得手动解析：$input = json_decode(file_get_contents('php://input'), true);

Nginx/Apache要不要配？

要，但仅作补充。Web服务器层加头能避免PHP启动开销，但无法做Origin白名单校验等逻辑。常见配置：

• Nginx：在location块里加add_header Access-Control-Allow-Origin ...;，但注意add_header不继承，OPTIONS需单独location ~ ^/api/ { ... }
• Apache：Header set Access-Control-Allow-Origin "https://your-frontend.com"需启用mod_headers，且AllowOverride All才生效
• 优先级：Nginx/Apache头 → PHP header() → 浏览器最终看到的是合并结果（部分头如Set-Cookie会被覆盖）

CORS真正难的不是加几行header()，而是OPTIONS路径是否被路由到、Origin是否严格校验、凭证和Header是否成对放开——漏掉任意一环，请求就静默失败。

理论要掌握，实操不能落！以上关于《PHP跨域请求失败怎么解决》的详细介绍，大家都掌握了吧！如果想要继续提升自己的能力，那么就来关注golang学习网公众号吧！