Laravel启用CORS需三步:安装fruitcake/laravel-cors包、在Kernel.php中启用HandleCors中间件、正确配置config/cors.php;否则即使修改配置文件也无效。
直接在 Laravel 中启用 CORS,不能只靠改 config/cors.php 就完事——多数人卡在中间件未启用或配置未生效上。
确认是否已安装并启用 fruitcake/laravel-cors
Laravel 7+ 默认不再内置 CORS 支持,必须手动安装官方推荐包。若跳过这步,config/cors.php 文件即使存在也不会被读取。
- 运行
composer require fruitcake/laravel-cors - 检查
app/Http/Kernel.php中的$middleware或$middlewareGroups['api']是否包含/Fruitcake/Cors/HandleCors::class - 若使用 Laravel 9.2+,该包已默认集成,但仍需确认中间件是否在
$middlewareGroups['api']中启用(默认是开启的)
config/cors.php 关键配置项说明
该文件控制实际响应头行为,常见错误是盲目设 'allowed_origins' => ['*'] 却忽略凭证(cookies)兼容性问题。
-
'supports_credentials' => true时,'allowed_origins'不能为['*'],必须明确列出前端域名,如['https://example.com'] -
'allowed_methods'默认是['*'],但某些代理或 CDN 会拦截预检请求中的Access-Control-Allow-Methods: *,建议显式写成['GET', 'POST', 'OPTIONS'] -
'exposed_headers'若需在 JS 中读取自定义响应头(如X-RateLimit-Remaining),必须在此显式声明
为什么 php artisan config:clear 后仍不生效?
因为 fruitcake/laravel-cors 的配置是运行时加载的,不走 Laravel 的 config 缓存机制——但中间件注册、服务提供者加载、环境变量都可能干扰。
- 检查
.env中是否设置了CORS_ALLOWED_ORIGINS(该包支持从环境变量覆盖配置) - 确认当前请求是否命中了
api中间件组(比如你用的是/api/xxx路由),否则HandleCors中间件根本不会执行 - 若路由定义在
routes/web.php且未显式加中间件,CORS 不会自动生效;web 组默认不加载HandleCors
Route::middleware('api')->group(function () {
Route::get('/data', [DataController::class, 'index']);
});
调试 CORS 失败最有效的三步
别只看浏览器控制台报错,重点查网络面板中预检(OPTIONS)请求的响应头:
- 打开 DevTools → Network → 找到 OPTIONS 请求 → 查看 Response Headers 是否含
Access-Control-Allow-Origin - 如果 OPTIONS 返回 405(Method Not Allowed),说明路由没匹配到,检查是否漏了
Route::options(...)或中间件未覆盖该路径 - 如果主请求(如 POST)返回 401/403 但响应头有 CORS 字段,说明跨域已通,问题在认证逻辑(如 Sanctum token 未随请求发送)
最容易被忽略的是:Laravel 的 APP_URL 和前端实际访问地址不一致时,部分中间件或包内部会基于它做 origin 校验——哪怕 CORS 配置全开,也可能静默失败。