跨源請求共享(CORS) 是一種機制,允許瀏覽器可以安全地發出跨域HTTP 請求,從而實現不同域或子域之間的通訊。此機制有助於防止未經授權的資源訪問,確保資料隱私和安全。
為了示範CORS 流程,讓我們考慮一個簡化的PHP 腳本:
header("Access-Control-Allow-Origin: *");
header("Access-Control-Allow-Headers: *");此腳本允許來自任何來源和任何標頭的跨來源請求。但是,在某些情況下,您可能會遇到以下錯誤訊息:
Request header field X-Requested-With is not allowed by Access-Control-Allow-Headers
要正確處理 CORS 請求,您需要明確指定允許的標頭。正確回應CORS 請求的更全面的函數是:
function cors() {
if (isset($_SERVER['HTTP_ORIGIN'])) {
header("Access-Control-Allow-Origin: {$_SERVER['HTTP_ORIGIN']}");
header('Access-Control-Allow-Credentials: true');
header('Access-Control-Max-Age: 86400');
}
if ($_SERVER['REQUEST_METHOD'] == 'OPTIONS') {
if (isset($_SERVER['HTTP_ACCESS_CONTROL_REQUEST_METHOD'])) {
header("Access-Control-Allow-Methods: GET, POST, OPTIONS");
}
if (isset($_SERVER['HTTP_ACCESS_CONTROL_REQUEST_HEADERS'])) {
header("Access-Control-Allow-Headers: {$_SERVER['HTTP_ACCESS_CONTROL_REQUEST_HEADERS']}");
}
exit(0);
}
echo "You have CORS!";
}1.驗證HTTP_ORIGIN:
當您收到HTTP_ORIGIN 標頭時,請務必在允許請求之前將其與已批准來源的白名單進行檢查。
2. X-Requested-With 驗證:
上面的腳本允許任何標頭,包括 X-Requested-With。這也應該得到驗證,尤其是在生產環境中。
3.閱讀CORS 規格:
要全面了解CORS,請參考官方規格:
以上是如何在 PHP 中正確配置 CORS 標頭以避免跨域請求錯誤?的詳細內容。更多資訊請關注PHP中文網其他相關文章!
