Laravel如何处理CORS跨域请求？（配置示例）

最推荐使用 fruitcake/laravel-cors 包（Laravel 9+ 已内置），通过配置 Cors 中间件并正确设置 allowed_origins 与 supports_credentials，确保 API 路由启用且响应头生效。

在 Laravel 中处理 CORS 跨域请求，最推荐的方式是使用官方维护的 fruitcake/laravel-cors 包（Laravel 9+ 已内置支持，无需额外安装），通过配置中间件统一控制响应头。

启用并配置 CORS 中间件

Laravel 默认已注册 Cors 中间件（位于 app/Http/Kernel.php 的 $middleware 或 $middlewareGroups 中）。确保 API 路由组（如 api）已应用该中间件：

// app/Http/Kernel.php
protected $middlewareGroups = [
    'api' => [
        \Laravel\Sanctum\Http\Middleware\EnsureFrontendRequestsAreStateful::class,
        'throttle:api',
        \Illuminate\Routing\Middleware\SubstituteBindings::class,
        \Fruitcake\Cors\HandleCors::class, // ✅ 确保这一行存在
    ],
];

发布并修改 CORS 配置文件

运行命令生成配置文件（Laravel 9+ 可跳过，但建议仍执行以自定义）：

php artisan vendor:publish --provider="Fruitcake\Cors\CorsServiceProvider"

然后编辑 config/cors.php，常见安全又实用的配置示例如下：

return [
    'paths' => ['api/*', 'sanctum/csrf-cookie'],
    'allowed_methods' => ['*'],
    'allowed_origins' => ['http://localhost:3000', 'https://your-frontend.com'],
    'allowed_origins_patterns' => [],
    'allowed_headers' => ['*'],
    'exposed_headers' => [],
    'max_age' => 3600,
    'supports_credentials' => true, // 若需携带 Cookie 或 Authorization
];

• paths：指定哪些 URL 前缀启用 CORS，如 api/* 表示所有 API 接口
• allowed_origins：不要写 *（与 supports_credentials => true 冲突），应明确列出前端域名
• supports_credentials：设为 true 时，前端必须设置 credentials: 'include'，后端才能读取 Cookie 或发送带认证的请求

针对特定路由临时关闭或调整 CORS

如果某接口需要特殊处理（比如允许任意源调试），可在路由定义中单独指定中间件参数：

标签： php laravel 前端 cookie 浏览器 app access 后端 路由 跨域 配置文件 red