如何配置Laravel CORS和Nginx解决API跨域问题?
- 内容介绍
- 文章标签
- 相关推荐
本文共计983个文字,预计阅读时间需要4分钟。
大概率是Nginx层拦截了预检请求(OPTIONS请求)。基本没有进Laravel。Laravel的CorsService只处理实际请求,不处理OPTIONS预检。如果Nginx没有放开,浏览器连接时也会收到Access-Control-Allow-Origin响应,但都收不到。
常见现象:Failed to fetch、Network Error、控制台显示 OPTIONS xxx 403 或直接 cancelled;用 curl -I -X OPTIONS 测试返回 405 或 403。
- 检查 Nginx 配置里是否漏了
add_header Access-Control-Allow-Methods和add_header Access-Control-Allow-Headers - 确认
location ~ ^/api/块中包含if ($request_method = 'OPTIONS') { add_header Access-Control-Allow-Origin "*"; add_header Access-Control-Allow-Headers "Authorization, Content-Type"; add_header Access-Control-Allow-Methods "GET, POST, OPTIONS, PUT, DELETE"; add_header Access-Control-Allow-Credentials "true"; add_header Access-Control-Max-Age "86400"; return 204; } - 避免把
add_header写在server级别——Nginx 的add_header不继承,必须写在匹配的location里
Laravel 的 CorsServiceProvider 配置为什么没生效
因为默认只对 api 中间件组生效,而你可能用了 auth:sanctum 却没加 api,或者路由没走 api.php。
使用场景:需要带 Authorization 头、或要求 credentials: true 的跨域请求(比如 Cookie 登录态传递)。
- 确保路由定义在
routes/api.php,且没手动覆盖中间件,例如Route::middleware('web')会绕过api组和 CORS -
config/cors.php中'supports_credentials' => true时,'allowed_origins'不能为['*'],必须写具体域名,否则浏览器拒绝携带凭证 -
'allowed_headers'必须显式列出前端实际发送的头,比如['Content-Type', 'Authorization', 'X-Requested-With'];漏掉Authorization就会导致带 token 的请求被拒
前端发 POST 请求时提示 No 'Access-Control-Allow-Origin' header is present
这不是 Laravel 没配 CORS,而是 Nginx 拦截了 OPTIONS 预检后,压根没把后续 POST 转发过去——所以 Laravel 根本没机会返回带 CORS 头的响应。
性能影响:每次跨域请求前多一次 OPTIONS 往返;如果 Nginx 不提前响应 204,就变成两次 HTTP 往返(OPTIONS + 实际请求),延迟翻倍。
- 用
curl -v -X OPTIONS http://your-api.com/api/xxx看响应头里有没有Access-Control-Allow-Origin - 如果返回 405 Method Not Allowed,说明 Nginx 没配置 OPTIONS 处理逻辑,要补上
if ($request_method = 'OPTIONS')块 - 如果返回 200 但没 CORS 头,说明
add_header写错位置(比如写在if外面但该if没命中)
开发环境用 php artisan serve 时 CORS 依然失败
因为 php artisan serve 是 PHP 自带的简易服务器,不支持 Nginx 那套 add_header,也不处理 OPTIONS 预检。它只依赖 Laravel 的中间件,所以必须确保 CorsServiceProvider 已启用且配置正确。
兼容性注意:Laravel 9+ 默认启用 CorsServiceProvider,但 Laravel 8 及更早需手动在 config/app.php 的 providers 数组里加 App\Providers\CorsServiceProvider::class。
- 运行
php artisan config:clear后再试,缓存可能导致config/cors.php修改不生效 - 检查
APP_URL是否设为前端地址(如http://localhost:5173),某些老版包会读这个做 origin 白名单 - 如果用 Vue/Vite,确认
vite.config.js的server.proxy没把 API 请求代理到错误端口,导致请求根本没发到 Laravel
最常被忽略的是:Nginx 的 if 指令在 location 外无效,而很多人把 OPTIONS 处理块写在 server 块顶层,结果完全不触发。
本文共计983个文字,预计阅读时间需要4分钟。
大概率是Nginx层拦截了预检请求(OPTIONS请求)。基本没有进Laravel。Laravel的CorsService只处理实际请求,不处理OPTIONS预检。如果Nginx没有放开,浏览器连接时也会收到Access-Control-Allow-Origin响应,但都收不到。
常见现象:Failed to fetch、Network Error、控制台显示 OPTIONS xxx 403 或直接 cancelled;用 curl -I -X OPTIONS 测试返回 405 或 403。
- 检查 Nginx 配置里是否漏了
add_header Access-Control-Allow-Methods和add_header Access-Control-Allow-Headers - 确认
location ~ ^/api/块中包含if ($request_method = 'OPTIONS') { add_header Access-Control-Allow-Origin "*"; add_header Access-Control-Allow-Headers "Authorization, Content-Type"; add_header Access-Control-Allow-Methods "GET, POST, OPTIONS, PUT, DELETE"; add_header Access-Control-Allow-Credentials "true"; add_header Access-Control-Max-Age "86400"; return 204; } - 避免把
add_header写在server级别——Nginx 的add_header不继承,必须写在匹配的location里
Laravel 的 CorsServiceProvider 配置为什么没生效
因为默认只对 api 中间件组生效,而你可能用了 auth:sanctum 却没加 api,或者路由没走 api.php。
使用场景:需要带 Authorization 头、或要求 credentials: true 的跨域请求(比如 Cookie 登录态传递)。
- 确保路由定义在
routes/api.php,且没手动覆盖中间件,例如Route::middleware('web')会绕过api组和 CORS -
config/cors.php中'supports_credentials' => true时,'allowed_origins'不能为['*'],必须写具体域名,否则浏览器拒绝携带凭证 -
'allowed_headers'必须显式列出前端实际发送的头,比如['Content-Type', 'Authorization', 'X-Requested-With'];漏掉Authorization就会导致带 token 的请求被拒
前端发 POST 请求时提示 No 'Access-Control-Allow-Origin' header is present
这不是 Laravel 没配 CORS,而是 Nginx 拦截了 OPTIONS 预检后,压根没把后续 POST 转发过去——所以 Laravel 根本没机会返回带 CORS 头的响应。
性能影响:每次跨域请求前多一次 OPTIONS 往返;如果 Nginx 不提前响应 204,就变成两次 HTTP 往返(OPTIONS + 实际请求),延迟翻倍。
- 用
curl -v -X OPTIONS http://your-api.com/api/xxx看响应头里有没有Access-Control-Allow-Origin - 如果返回 405 Method Not Allowed,说明 Nginx 没配置 OPTIONS 处理逻辑,要补上
if ($request_method = 'OPTIONS')块 - 如果返回 200 但没 CORS 头,说明
add_header写错位置(比如写在if外面但该if没命中)
开发环境用 php artisan serve 时 CORS 依然失败
因为 php artisan serve 是 PHP 自带的简易服务器,不支持 Nginx 那套 add_header,也不处理 OPTIONS 预检。它只依赖 Laravel 的中间件,所以必须确保 CorsServiceProvider 已启用且配置正确。
兼容性注意:Laravel 9+ 默认启用 CorsServiceProvider,但 Laravel 8 及更早需手动在 config/app.php 的 providers 数组里加 App\Providers\CorsServiceProvider::class。
- 运行
php artisan config:clear后再试,缓存可能导致config/cors.php修改不生效 - 检查
APP_URL是否设为前端地址(如http://localhost:5173),某些老版包会读这个做 origin 白名单 - 如果用 Vue/Vite,确认
vite.config.js的server.proxy没把 API 请求代理到错误端口,导致请求根本没发到 Laravel
最常被忽略的是:Nginx 的 if 指令在 location 外无效,而很多人把 OPTIONS 处理块写在 server 块顶层,结果完全不触发。