带有 PHP 标头的跨域请求标头 (CORS)
我有一个简单的 PHP 脚本,我正在尝试跨域 CORS 请求:
<?php
header("Access-Control-Allow-Origin: *");
header("Access-Control-Allow-Headers: *");
...
然而我仍然得到错误:
Access-Control-Allow-Headers 不允许请求标头字段 X-Requested-With
有什么我想念的吗?
正确处理 CORS 请求有点复杂。这是一个可以更充分(和正确)响应的函数。
/**
* An example CORS-compliant method. It will allow any GET, POST, or OPTIONS requests from any
* origin.
*
* In a production environment, you probably want to be more restrictive, but this gives you
* the general idea of what is involved. For the nitty-gritty low-down, read:
*
* - https://developer.mozilla.org/en/HTTP_access_control
* - https://fetch.spec.whatwg.org/#http-cors-protocol
*
*/
function cors() {
// Allow from any origin
if (isset($_SERVER['HTTP_ORIGIN'])) {
// Decide if the origin in $_SERVER['HTTP_ORIGIN'] is one
// you want to allow, and if so:
header("Access-Control-Allow-Origin: {$_SERVER['HTTP_ORIGIN']}");
header('Access-Control-Allow-Credentials: true');
header('Access-Control-Max-Age: 86400'); // cache for 1 day
}
// Access-Control headers are received during OPTIONS requests
if ($_SERVER['REQUEST_METHOD'] == 'OPTIONS') {
if (isset($_SERVER['HTTP_ACCESS_CONTROL_REQUEST_METHOD']))
// may also be using PUT, PATCH, HEAD etc
header("Access-Control-Allow-Methods: GET, POST, OPTIONS");
if (isset($_SERVER['HTTP_ACCESS_CONTROL_REQUEST_HEADERS']))
header("Access-Control-Allow-Headers: {$_SERVER['HTTP_ACCESS_CONTROL_REQUEST_HEADERS']}");
exit(0);
}
echo "You have CORS!";
}
安全说明
根据已批准的来源列表检查 HTTP_ORIGIN 标头。
如果来源未被批准,那么您应该拒绝该请求。
请阅读规范。
TL;博士
当浏览器想要执行跨站点请求时,它首先通过对 URL 的“飞行前”请求确认这是可以的。通过允许 CORS,您告诉浏览器来自该 URL 的响应可以与其他域共享。
CORS 不会保护您的服务器。 CORS 试图通过告诉浏览器对与其他域共享响应的限制来保护您的用户。通常这种共享是完全禁止的,所以 CORS 是一种在浏览器的正常安全策略中戳破漏洞的方法。这些漏洞应尽可能小,因此请始终根据某种内部列表检查 HTTP_ORIGIN。
这里有一些危险,特别是如果 URL 提供的数据通常受到保护。您有效地允许源自其他服务器的浏览器内容读取(并可能操纵)您服务器上的数据。
如果您打算使用 CORS,请仔细阅读协议(它非常小)并尝试了解您在做什么。为此目的,代码示例中提供了一个参考 URL。
标头安全
已经观察到 HTTP_ORIGIN 标头是不安全的,这是真的。事实上,所有 HTTP 标头对于该术语的不同含义都是不安全的。除非标头包含可验证的签名/hmac,或者整个对话都通过 TLS 进行身份验证,否则标头只是“浏览器告诉我的东西”。
在这种情况下,浏览器说“来自域 X 的对象想要从这个 URL 获得响应。可以吗?” CORS 的重点是能够回答“是的,我会允许”。
我遇到了同样的错误,并在我的后端脚本中使用以下 PHP 修复了它:
header('Access-Control-Allow-Origin: *');
header('Access-Control-Allow-Methods: GET, POST');
header("Access-Control-Allow-Headers: X-Requested-With");
Access-Control-Allow-Headers 不允许将 * 作为接受值,请参阅 Mozilla 文档 here。
而不是星号,您应该发送接受的标头(第一个 X-Requested-With 如错误所述)。
更新:
现在接受的 * 是 Access-Control-Allow-Headers。
对于没有凭据的请求(没有 HTTP cookie 或 HTTP 身份验证信息的请求),值 * 仅计为一个特殊的通配符值。在带有凭据的请求中,它被视为没有特殊语义的文字标头名称 *。请注意,授权标头不能使用通配符,并且始终需要明确列出。
* 现在已根据 MDN 文档被接受。
互联网范围内的许多描述都没有提到指定 Access-Control-Allow-Origin 是不够的。这是一个对我有用的完整示例:
<?php
if ($_SERVER['REQUEST_METHOD'] === 'OPTIONS') {
header('Access-Control-Allow-Origin: *');
header('Access-Control-Allow-Methods: POST, GET, DELETE, PUT, PATCH, OPTIONS');
header('Access-Control-Allow-Headers: token, Content-Type');
header('Access-Control-Max-Age: 1728000');
header('Content-Length: 0');
header('Content-Type: text/plain');
die();
}
header('Access-Control-Allow-Origin: *');
header('Content-Type: application/json');
$ret = [
'result' => 'OK',
];
print json_encode($ret);
我只是设法让 dropzone 和其他插件与这个修复一起工作(angularjs + php 后端)
header('Access-Control-Allow-Origin: *');
header("Access-Control-Allow-Credentials: true");
header('Access-Control-Allow-Methods: GET, PUT, POST, DELETE, OPTIONS');
header('Access-Control-Max-Age: 1000');
header('Access-Control-Allow-Headers: Origin, Content-Type, X-Auth-Token , Authorization');
将此添加到您的 upload.php 或您将发送请求的位置(例如,如果您有 upload.html 并且需要将文件附加到 upload.php,然后复制并粘贴这 4 行)。此外,如果您在 chrome/mozilla 中使用 CORS 插件/插件,请务必多次切换它们,以便启用 CORS
如果您想从 PHP 创建 CORS 服务,您可以将此代码用作文件中处理请求的第一步:
// Allow from any origin
if(isset($_SERVER["HTTP_ORIGIN"]))
{
// You can decide if the origin in $_SERVER['HTTP_ORIGIN'] is something you want to allow, or as we do here, just allow all
header("Access-Control-Allow-Origin: {$_SERVER['HTTP_ORIGIN']}");
}
else
{
//No HTTP_ORIGIN set, so we allow any. You can disallow if needed here
header("Access-Control-Allow-Origin: *");
}
header("Access-Control-Allow-Credentials: true");
header("Access-Control-Max-Age: 600"); // cache for 10 minutes
if($_SERVER["REQUEST_METHOD"] == "OPTIONS")
{
if (isset($_SERVER["HTTP_ACCESS_CONTROL_REQUEST_METHOD"]))
header("Access-Control-Allow-Methods: POST, GET, OPTIONS, DELETE, PUT"); //Make sure you remove those you do not want to support
if (isset($_SERVER["HTTP_ACCESS_CONTROL_REQUEST_HEADERS"]))
header("Access-Control-Allow-Headers: {$_SERVER['HTTP_ACCESS_CONTROL_REQUEST_HEADERS']}");
//Just exit with 200 OK with the above headers for OPTIONS method
exit(0);
}
//From here, handle the request as it is ok
如果我们没有正确理解 CORS 的功能,CORS 可能会令人头疼。我在 PHP 中使用它们,它们可以正常工作。 reference here
header("Access-Control-Allow-Origin: *");
header("Access-Control-Allow-Credentials: true");
header("Access-Control-Max-Age: 1000");
header("Access-Control-Allow-Headers: X-Requested-With, Content-Type, Origin, Cache-Control, Pragma, Authorization, Accept, Accept-Encoding");
header("Access-Control-Allow-Methods: PUT, POST, GET, OPTIONS, DELETE");
当使用 angular 4 作为客户端并使用 PHP 作为服务器端时,这么多代码对我来说很有效。
header("Access-Control-Allow-Origin: *");
这应该工作
header("Access-Control-Allow-Origin: *");
header("Access-Control-Allow-Headers: X-Requested-With, Content-Type, Origin, Cache-Control, Pragma, Authorization, Accept, Accept-Encoding");
在 .htaccess 中添加此代码
在标头中添加自定义身份验证密钥,例如 app_key、auth_key..etc
Header set Access-Control-Allow-Origin "*"
Header set Access-Control-Allow-Headers: "customKey1,customKey2, headers, Origin, X-Requested-With, Content-Type, Accept, Authorization"
我使用了这 5 个标头,然后解决了 cors 错误(后端:PHP,前端:VUE JS)
header('Access-Control-Allow-Origin: *');
header('Access-Control-Allow-Methods: GET, PUT, POST, DELETE, OPTIONS, post, get');
header("Access-Control-Max-Age", "3600");
header('Access-Control-Allow-Headers: Origin, Content-Type, X-Auth-Token');
header("Access-Control-Allow-Credentials", "true");
关注公众号
不定期副业成功案例分享
想领先一步获取最新的外包任务吗?
立即订阅相似问题
- 从文件:// URL 运行的应用程序发出的请求“Access-Control-Allow-Origin 不允许 Origin null”错误
- 为什么向 OPTIONS 路由添加 CORS 标头不允许浏览器访问我的 API?
- Access-Control-Allow-Origin 标头如何工作?
- 为什么我的 http://localhost CORS 来源不起作用?
- AngularJS 对跨域资源执行 OPTIONS HTTP 请求
- 为什么我的 JavaScript 代码会收到“请求的资源上不存在 'Access-Control-Allow-Origin' 标头”错误,而 Postman 却没有?
- Access-Control-Allow-Headers 不允许请求标头字段 Access-Control-Allow-Headers
- 请求标头字段 Access-Control-Allow-Headers 本身在预检响应中是不允许的
- 对预检请求的响应未通过访问控制检查
- 尝试从 REST API 获取数据时,请求的资源上不存在“Access-Control-Allow-Origin”标头
HuntsBot(狩猎机器人),一站式外包任务、远程工作、产品创意分享与订阅平台,支持钉钉、飞书、企业微信、邮箱、Telegram机器人订阅。平台会以及时、稳定、可靠的技术把外包任务需求、远程工作机会、产品创意等推送给每一位订阅的用户。
ACAC: true的任何来源,您实际上是在将同源策略扔出窗外。从安全的角度来看,这个答案是一个糟糕的建议,它应该被否决。$_SERVER['HTTP_ORIGIN']而被否决。这是一个巨大的安全风险。