ThinkPHP5 跨域问题常见的处理方法

跨域问题是前后端分离开发中常见的问题之一。由于浏览器的同源策略，前端从不同源（协议、域名、端口）请求资源时，会被浏览器拦截。本文将介绍几种在ThinkPHP5框架中处理跨域问题的常见方法。

一、跨域的基本概念

跨域指的是浏览器阻止前端从不同的源（域名、协议、端口）请求资源的行为。常见的跨域请求场景包括：

• 不同域名，例如从 http://example.com请求 http://api.example.com。
• 不同端口，例如从 http://localhost:3000请求 http://localhost:8000。
• 不同协议，例如从 http://example.com请求 https://example.com。

二、使用CORS解决跨域问题

CORS（Cross-Origin Resource Sharing）是W3C标准，它允许服务器通过设置HTTP头来指示浏览器允许来自其他域的请求。

1. 修改 public/index.php

在ThinkPHP5的入口文件 public/index.php中添加以下代码，设置CORS头：

header('Access-Control-Allow-Origin: *');
header('Access-Control-Allow-Methods: GET, POST, PUT, DELETE, OPTIONS');
header('Access-Control-Allow-Headers: X-Requested-With, Content-Type, Accept, Origin, Authorization');
​

2. 中间件实现CORS

可以通过中间件统一处理跨域请求。创建一个中间件文件，例如 app/middleware/Cors.php：

namespace app\middleware;

class Cors
{
    public function handle($request, \Closure $next)
    {
        $response = $next($request);

        $response->header('Access-Control-Allow-Origin', '*');
        $response->header('Access-Control-Allow-Methods', 'GET, POST, PUT, DELETE, OPTIONS');
        $response->header('Access-Control-Allow-Headers', 'X-Requested-With, Content-Type, Accept, Origin, Authorization');

        return $response;
    }
}
​

然后在中间件配置文件 application/middleware.php中注册这个中间件：

return [
    \app\middleware\Cors::class,
];
​

三、处理预检请求

浏览器在发送某些跨域请求之前，会发送一个OPTIONS请求作为预检请求。需要在服务器端处理这个OPTIONS请求。

1. 在中间件中处理OPTIONS请求

修改之前的中间件代码，添加对OPTIONS请求的处理：

namespace app\middleware;

class Cors
{
    public function handle($request, \Closure $next)
    {
        if ($request->isOptions()) {
            return response('', 204);
        }

        $response = $next($request);

        $response->header('Access-Control-Allow-Origin', '*');
        $response->header('Access-Control-Allow-Methods', 'GET, POST, PUT, DELETE, OPTIONS');
        $response->header('Access-Control-Allow-Headers', 'X-Requested-With, Content-Type, Accept, Origin, Authorization');

        return $response;
    }
}
​

四、细粒度的跨域控制

为了安全起见，可以对跨域请求进行更细粒度的控制，例如只允许特定域名的跨域请求。

1. 允许特定域名

修改CORS头设置代码，替换 *为指定的域名：

$response->header('Access-Control-Allow-Origin', 'http://allowed-domain.com');
​

2. 动态设置允许域名

可以根据请求的来源动态设置允许的域名：

$allowedOrigins = ['http://allowed-domain.com', 'http://another-allowed-domain.com'];

if (in_array($request->header('Origin'), $allowedOrigins)) {
    $response->header('Access-Control-Allow-Origin', $request->header('Origin'));
}
​

五、总结

通过以上方法，可以在ThinkPHP5框架中处理跨域问题，确保前后端分离开发时的正常通信。推荐使用中间件来统一处理跨域问题，以简化代码和提高可维护性。

思维导图

- ThinkPHP5 跨域问题常见的处理方法
  - 跨域的基本概念
  - 使用CORS解决跨域问题
    - 修改public/index.php
    - 中间件实现CORS
  - 处理预检请求
    - 在中间件中处理OPTIONS请求
  - 细粒度的跨域控制
    - 允许特定域名
    - 动态设置允许域名
  - 总结
​

通过这些步骤，可以有效解决ThinkPHP5中的跨域问题，确保前后端分离架构下的正常通信。