使用 laravel-cors 扩展包解决 Laravel 跨域问题,通过配置 allowed_origins、methods 和 headers 并应用 HandleCors 中间件,实现对前端请求的安全跨域支持。
Laravel 默认会阻止来自不同域名的前端请求,也就是我们常说的跨域问题(CORS)。当你的前端应用(如 vue、react)运行在 http://localhost:3000,而后端 Laravel 服务在 http://localhost:8000 时,浏览器就会因安全策略拦截请求。解决这个问题的核心是正确配置 CORS 响应头,允许指定来源访问接口。
使用 laravel-cors 扩展包(推荐方式)
最简单高效的方式是使用 fruitcake/laravel-cors 官方推荐的 CORS 中间件包,它能集中管理跨域规则。
- 安装扩展包:
composer require fruitcake/laravel-cors - Laravel 9+ 通常无需手动注册服务提供者,低版本请检查
config/app.php是否包含:FruitcakeCorsCorsServiceProvider::class - 发布配置文件:
php artisan vendor:publish --provider="FruitcakeCorsCorsServiceProvider" --tag="config"
配置 cors.php 文件
生成的 config/cors.php 是核心配置文件,控制哪些来源可以访问:
- allowed_origins:允许的域名列表,例如
['http://localhost:3000', 'https://your-frontend.com'],可使用*允许所有(仅限开发) - allowed_methods:允许的请求方法,如
['GET', 'POST', 'PUT', 'delete', 'OPTIONS'] - allowed_headers:允许的请求头,如
['Content-Type', 'X-Requested-With', 'Authorization'] - supports_credentials:是否允许携带 cookie 或认证信息,设为
true时allowed_origins不能为*
应用中间件到路由
该包提供了全局和局部两种使用方式:
- 全局生效:在
app/Http/Kernel.php的$middleware数组中添加:FruitcakeCorsHandleCors::class - 按路由分组或单独使用:在
$middlewareGroups如api中加入中间件,只对 API 路由生效
手动添加 CORS 头(临时方案)
若不想引入扩展包,可在中间件中手动设置响应头:
- 创建中间件:
php artisan make:middleware Cors - 在
handle方法中添加:$response = $next($request);$response->headers->set('access-Control-Allow-Origin', 'http://localhost:3000');$response->headers->set('Access-Control-Allow-Methods', 'GET, POST, PUT, DELETE, OPTIONS');$response->headers->set('Access-Control-Allow-Headers', 'Content-Type, Authorization'); - 注册中间件并应用到路由
基本上就这些。推荐始终使用 laravel-cors 扩展包,配置清晰、维护方便,避免手动处理 OPTIONS 预检请求出错。生产环境注意不要开放 * 源,防止安全风险。
以上就是Laravel怎么解决跨域问题_Laravel配置CORS跨域访问的详细内容,更多请关注php中文网其它相关文章!