README

实现了https://github.com/fruitcake/php-cors，用于Laravel

关于升级到Laravel 9, 10或更高版本的说明

由于所有支持的Laravel版本现在都已将CORS中间件包含在核心中，因此此包已弃用。

从Laravel 9.2开始，此中间件包含在laravel/framework中。您可以使用提供的中间件，它应与此包中提供的中间件和配置兼容。有关更改，请参阅https://github.com/laravel/laravel/pull/5825/files。

升级步骤

从您的composer.json中移除 "fruitcake/laravel-cors"
在 app/Http/Kernel.php 中将 \Fruitcake\Cors\HandleCors::class, 替换为 \Illuminate\Http\Middleware\HandleCors::class,

有关高级用法，请参阅 https://github.com/fruitcake/php-cors。配置保持不变。

关于

laravel-cors 包允许您使用Laravel中间件配置发送跨源资源共享头部。

如果您想了解CORS工作流程的全局概述，可以浏览此图像。

从0.x（barryvdh/laravel-cors）升级

当从0.x版本升级时，有一些破坏性更改

使用新的 'paths' 属性来启用/禁用某些路由上的CORS。默认情况下为空，因此请正确填写！
不再支持中间件分组，使用全局中间件
供应商名称已更改（请参阅安装/使用说明）
cors.php 中的属性的大小写从camelCase更改为snake_case，因此如果您已经有一个 cors.php 文件，则需要更新该文件中的属性以匹配新的大小写。

功能

处理CORS预检OPTIONS请求
向您的响应添加CORS头部
将路由与仅对某些请求添加CORS匹配

安装

在您的 composer.json 中要求 fruitcake/laravel-cors 包，并更新您的依赖关系

composer require fruitcake/laravel-cors

如果您遇到冲突，这可能是由于已安装较旧的barryvdh/laravel-cors或fruitcake/laravel-cors版本。首先删除冲突的包，然后再次尝试安装

composer remove barryvdh/laravel-cors fruitcake/laravel-cors
composer require fruitcake/laravel-cors

全局使用

要允许所有路由的CORS，请将 HandleCors 中间件添加到 app/Http/Kernel.php 类的 $middleware 属性顶部

protected $middleware = [
  \Fruitcake\Cors\HandleCors::class,
    // ...
];

现在更新配置以定义您要在其上运行CORS服务的路径（请参阅以下配置）

'paths' => ['api/*'],

配置

默认设置在 config/cors.php 中。发布配置以复制文件到您自己的配置

php artisan vendor:publish --tag="cors"

注意： 当使用自定义头部，如 X-Auth-Token 或 X-Requested-With 时，必须将 allowed_headers 设置为包括这些头部。您也可以将其设置为 ['*'] 以允许所有自定义头部。

注意： 如果您明确地列出白名单头部，则必须包括 Origin 或请求将无法被识别为CORS。

选项

allowed_origins、allowed_headers 和 allowed_methods 可以设置为 ['*'] 以接受任何值。

注意：对于allowed_origins，在不使用通配符时必须包括方案，例如：['http://example.com', 'https://example.com']。在使用allowed_origins_patterns时，也需要考虑方案的存在。

注意：尽量具体。你可以从宽松的约束开始开发，但最好尽可能严格！

注意：由于Laravel中的HTTP方法重写，允许POST方法也将使API用户能够执行PUT和DELETE请求。

注意：有时需要指定端口号（例如，当你在本地环境中编写应用程序时）。你可以在这里指定端口号或使用通配符，例如：localhost:3000，localhost:*，甚至使用FQDN app.mydomain.com:8080

Lumen

在Lumen中，只需手动在bootstrap/app.php文件中注册ServiceProvider。

$app->register(Fruitcake\Cors\CorsServiceProvider::class);

还将cors.php配置文件复制到config/cors.php，并投入使用。

$app->configure('cors');

Lumen的全局使用

要允许所有路由的CORS，请将HandleCors中间件添加到全局中间件，并在配置中设置paths属性。

$app->middleware([
    // ...
    Fruitcake\Cors\HandleCors::class,
]);

常见问题

错误的配置

确保配置中的path选项正确，并且确实与您正在使用的路由匹配。记得也要清除配置缓存。

错误处理、中间件顺序

有时错误/返回自己响应的中间件可能会阻止CORS中间件的运行。尝试更改中间件的顺序，并确保它是全局中间件中的第一个条目，而不是路由组的一部分。也要检查日志中的实际错误，因为没有CORS时，错误将被浏览器吞没，只显示CORS错误。也尝试在不使用CORS的情况下运行，以确保它确实可以工作。

授权头/凭据

如果您的请求包含授权头或使用凭据模式，将配置中的supports_credentials值设置为true。这将设置Access-Control-Allow-Credentials头为true。

Echo/die

如果您的代码中使用了echo()、dd()、die()、exit()、dump()等，将会中断中间件流程。当输出在头信息之前发送时，CORS无法添加。当脚本在CORS中间件完成之前退出时，CORS头信息将不会被添加。始终返回适当的响应或抛出异常。

为您的API禁用CSRF保护

如果可能，使用禁用CSRF保护的路由组。否则，可以在App\Http\Middleware\VerifyCsrfToken中为某些请求禁用CSRF。

protected $except = [
    'api/*',
    'sub.domain.zone' => [
      'prefix/*'
    ],
];

重复的头信息

CORS中间件应该是添加这些头信息的唯一地方。如果你在.htaccess、nginx或index.php文件中也添加了头信息，将会得到重复的头信息，并出现意外结果。

没有跨站请求

如果你不是在进行跨站请求，也就是说，如果你不是从site-b.com请求site-a.com/api，你的浏览器将不会发送Origin: https://site-b.com请求头，CORS将被“禁用”，因为Access-Control-Allow-Origin头也将缺失。这是因为请求是从相同的源发起的，在这种情况下不需要保护。

许可证

在MIT许可证下发布，请参阅LICENSE。

dilneiss / laravel-cors

维护者

详情