解决CORS预检请求中自定义Header无法处理的问题

正如上述摘要所概括，CORS（跨域资源共享）是Web开发中常见的安全机制，用于限制来自不同源的HTTP请求。当客户端尝试发送带有自定义Header的跨域请求时，浏览器会首先发送一个预检（OPTIONS）请求，以确定服务器是否允许该请求。如果服务器没有正确配置，预检请求可能会失败，导致实际请求被阻止。

以下是如何解决这个问题的步骤：

1. 配置服务器端响应头

服务器端需要设置 Access-Control-Allow-Origin 和 Access-Control-Allow-Headers 响应头，以允许来自特定源的请求，并允许使用自定义Header。

在PHP中，可以使用 header() 函数来设置这些响应头。确保在任何输出之前设置这些Header。

header('Access-Control-Allow-Origin: *'); // 允许所有来源，生产环境应指定具体来源
header('Access-Control-Allow-Headers: Origin, X-Requested-With, Content-Type, Accept, Custom-Token'); // 允许的Header

• Access-Control-Allow-Origin: *：允许来自任何域的请求。在生产环境中，建议将其设置为允许访问您的API的特定域名，例如 Access-Control-Allow-Origin: https://example.com。
• Access-Control-Allow-Headers：指定服务器允许客户端在实际请求中使用的Header。必须包含客户端使用的所有自定义Header，以及可能使用的标准Header，例如 Origin、X-Requested-With、Content-Type 和 Accept。

2. 处理OPTIONS请求

对于预检请求（HTTP方法为OPTIONS），服务器需要返回一个成功的响应（HTTP状态码200或204）。这告诉浏览器服务器支持跨域请求，并且允许使用指定的Header。

在使用Slim Framework v4时，可以添加一个路由来处理OPTIONS请求。

<?php

use Psr/Http/Message/ResponseInterface as Response;
use Psr/Http/Message/ServerRequestInterface as Request;
use Slim/Factory/AppFactory;

require __DIR__ . '/../vendor/autoload.php';

$app = AppFactory::create();

// CORS Pre-Flight OPTIONS Request Handler
$app->options('/{routes:.*}', function (Request $request, Response $response) {
    // CORS Pre-Flight OPTIONS Request Handler
    echo "OK!"; //或者返回一个空的204 No Content响应

    return $response;
});

$app->get('/income/', function (Request $request, Response $response) {
    $response->getBody()->write(json_encode(['message' => 'Hello from API']));
    return $response->withHeader('Content-Type', 'application/json');
});

$app->run();

在这个例子中，$app->options(‘/{routes:.*}’) 会匹配所有OPTIONS请求。函数内部简单地输出 “OK!”，表明服务器已准备好处理实际请求。 也可以使用 $response->withStatus(204) 返回一个 204 No Content 的响应。

3. 客户端代码

确保客户端代码正确设置了 Custom-Token Header。

axios({
  method: 'get',
  url: 'http://localhost:8080/income/',
  headers: {
    'Content-Type': 'application/json',
    'Custom-Token': 'vvvv'
  },
  responseType: 'json'
})
  .then(function (response) {
    console.log(response);
  }).catch(error => console.log(error));

注意事项

• 安全性： 谨慎使用 Access-Control-Allow-Origin: *，因为它允许来自任何域的请求。在生产环境中，应将其设置为允许访问您的API的特定域名。
• 缓存： 浏览器可能会缓存预检请求的结果。如果更改了服务器端的CORS配置，可能需要清除浏览器缓存或使用 Access-Control-Max-Age 响应头来控制预检请求的缓存时间。
• Header大小写： HTTP Header 名称不区分大小写，但是为了规范和兼容性，建议保持一致的大小写风格。
• 调试： 使用浏览器的开发者工具可以帮助您调试CORS问题。检查Network选项卡中的请求和响应头，以及Console选项卡中的错误消息。

总结

解决CORS预检请求中自定义Header无法处理的问题，关键在于正确配置服务器端的响应头，并处理OPTIONS请求。通过设置 Access-Control-Allow-Origin 和 Access-Control-Allow-Headers 响应头，以及为OPTIONS请求返回成功的响应，可以确保浏览器能够正确地发送和接收带有自定义Header的跨域请求。 遵循上述步骤，可以有效地解决在使用Slim Framework v4构建API时遇到的CORS问题。

以上就是解决CORS预检请求中自定义Header无法处理的问题的详细内容，更多请关注php中文网其它相关文章！

https://www.php.cn/faq/1460692.html