使用 PHP 将数据发布到不同的域，AJAX 不起作用

Question

我想使用 AJAX 将数据从 domain1.com 发布到 domain2.com，但我的请求失败。

这是我在domain1.com 上的代码：

$.ajax({
    type: 'POST',
    url: 'https://domain2.com/payment/api/server',
    crossDomain: true,
    data: {
            Name: $("#name").val().trim(), 
            Email: $("#email").val().trim()
          },
    dataType: 'json',
    success: function(data) {
        alert('Success');
    },
    error: function (data) {
        alert('POST failed.');
    }
});

这是我在domain2.com 上的服务器端代码：

switch ($_SERVER['HTTP_ORIGIN']) {
  case 'http://domain1.com/api/': case 'http://domain1.com/api/':
    header('Access-Control-Allow-Origin: '.$_SERVER['HTTP_ORIGIN']);
    header('Access-Control-Allow-Methods: GET, PUT, POST, DELETE, OPTIONS');
    header('Access-Control-Max-Age: 1000');
    header('Access-Control-Allow-Headers: Content-Type, Authorization, X-Requested-With');
  break;
}

$name = $_POST['Name'];

echo $name; // Just to check if I receive the value from index.php

Answer 1

您正在检查 Origin HTTP 标头是否等于 'http://domain1.com/api/'。但是，MDN CORS docs 说：

origin 是一个 URI，指示发起请求的服务器。它不包含任何路径信息，只包含服务器名称。

您必须从字符串中删除路径，即它必须是'http://domain1.com'。

更正server.php代码：

switch ($_SERVER['HTTP_ORIGIN']) {
  case 'http://domain1.com':
    header('Access-Control-Allow-Origin: '.$_SERVER['HTTP_ORIGIN']);
    header('Access-Control-Allow-Methods: GET, PUT, POST, DELETE, OPTIONS');
    header('Access-Control-Max-Age: 1000');
    header('Access-Control-Allow-Headers: Content-Type, Authorization, X-Requested-With');
  break;
}

$name = $_POST['Name'];

echo $name;

Answer 2

附带说明：如果您使用“HTTP_ORIGIN”标头来“保护”您的请求，您应该重新考虑它。任何人都可以欺骗此标头并任意设置值。你最好使用某种密钥/秘密来避免不需要的请求。见：Is CORS a secure way to do cross-domain AJAX requests?