在 php 中允许跨域请求需要以下步骤：设置 cors 标头，指定允许的来源域、http 方法和请求头。验证请求头，检查 origin 值是否与预期的来源域匹配。对于复杂请求或使用自定义请求头的跨域请求，设置预检请求的缓存时间。

PHP 允许跨域请求

如何允许跨域请求？

在 PHP 中允许跨域请求可以通过以下步骤：

1. 设置 CORS 标头

立即学习“PHP免费学习笔记（深入）”；

在响应头中设置以下 CORS 标头：

header("Access-Control-Allow-Origin: https://example.com");
header("Access-Control-Allow-Methods: GET, POST, PUT, DELETE");
header("Access-Control-Allow-Headers: Content-Type, Authorization");

其中：

• Access-Control-Allow-Origin: 指定允许的来源域。
• Access-Control-Allow-Methods: 指定允许的 HTTP 方法。
• Access-Control-Allow-Headers: 指定允许的请求头。

2. 验证请求头

在 PHP 中，您可以使用 $_SERVER['HTTP_ORIGIN'] 获取请求头中的 Origin 值。然后，您可以检查 Origin 值是否与预期的来源域匹配，并根据需要采取相应措施（例如，拒绝请求）。

示例代码：

if ($_SERVER['HTTP_ORIGIN'] !== 'https://example.com') {
    // 拒绝请求
    header("HTTP/1.1 403 Forbidden");
    exit;
}

3. 设置预检请求

对于涉及复杂请求（例如，POST 或 PUT）或使用自定义请求头的跨域请求，浏览器会发送一个预检请求来检查是否允许该请求。为此，您需要设置以下标头：

header("Access-Control-Max-Age: 3600");

这将设置预检请求的缓存时间，使浏览器可以缓存该响应，从而避免为后续请求发送额外的预检请求。

其他注意事项

• 确保服务器端和客户端使用相同的协议（HTTP 或 HTTPS）。
• 考虑使用 JSON Web 令牌 (JWT) 来验证跨域请求，以防止 CSRF 攻击。
• 仅允许来自受信任来源的跨域请求。