Workerman处理跨域需配置CORS响应头，核心是通过$connection->header()设置Access-Control-Allow-Origin等字段，允许特定或所有来源访问，并正确处理OPTIONS预检请求以确保浏览器放行跨域。

Workerman处理跨域问题，核心在于服务器端配置CORS响应头，允许特定或所有来源的请求。这避免了浏览器因同源策略而阻止跨域请求。

配置CORS，本质上就是让你的Workerman应用告诉浏览器，“嘿，这个来源的请求我是允许的”。

解决方案

在你的Workerman应用中，你需要针对每个需要支持跨域的接口或路由，手动设置响应头。一种方式是在请求到达时，动态地添加这些头。

use Workerman\Worker;
use Workerman\Connection\TcpConnection;

require_once __DIR__ . '/Autoloader.php';

$http_worker = new Worker("http://0.0.0.0:2345");

$http_worker->count = 4;

$http_worker->onMessage = function(TcpConnection $connection, $data)
{
    // 允许所有来源跨域访问
    $connection->header('Access-Control-Allow-Origin: *');
    // 允许携带凭证（如cookies）
    $connection->header('Access-Control-Allow-Credentials: true');
    // 允许的请求方法
    $connection->header('Access-Control-Allow-Methods: GET, POST, PUT, DELETE, OPTIONS');
    // 允许的请求头
    $connection->header('Access-Control-Allow-Headers: Content-Type, Authorization, X-Requested-With');

    // 如果是OPTIONS请求，直接返回204 No Content
    if ($_SERVER['REQUEST_METHOD'] == 'OPTIONS') {
        $connection->send('');
        return;
    }

    // 实际的业务逻辑
    $connection->send('hello world');
};

Worker::runAll();

这段代码的核心在于

$connection->header()

的使用，它允许你设置HTTP响应头。

Access-Control-Allow-Origin: *

表示允许所有来源的请求，但实际生产环境中，更推荐设置为具体的域名，以提高安全性。

需要注意的是，

OPTIONS

请求的处理。浏览器在发起跨域请求时，通常会先发送一个

OPTIONS

预检请求，询问服务器是否允许该请求。如果服务器没有正确处理

OPTIONS

请求，跨域请求就会失败。

如何限制只允许特定域名跨域访问？

将

Access-Control-Allow-Origin: *

替换为具体的域名，例如

Access-Control-Allow-Origin: https://www.example.com

。 如果需要支持多个域名，一种简单的做法是检查请求头的

Origin

字段，然后动态设置

Access-Control-Allow-Origin

。

$http_worker->onMessage = function(TcpConnection $connection, $data)
{
    $origin = isset($_SERVER['HTTP_ORIGIN']) ? $_SERVER['HTTP_ORIGIN'] : '';
    $allowed_origins = [
        'https://www.example.com',
        'https://api.example.com',
    ];

    if (in_array($origin, $allowed_origins)) {
        $connection->header('Access-Control-Allow-Origin: ' . $origin);
        $connection->header('Access-Control-Allow-Credentials: true');
        $connection->header('Access-Control-Allow-Methods: GET, POST, PUT, DELETE, OPTIONS');
        $connection->header('Access-Control-Allow-Headers: Content-Type, Authorization, X-Requested-With');

        if ($_SERVER['REQUEST_METHOD'] == 'OPTIONS') {
            $connection->send('');
            return;
        }

        $connection->send('hello world');
    } else {
        $connection->send('Unauthorized'); // 或者返回其他错误信息
    }
};

这种方式更安全，因为它只允许你信任的域名进行跨域访问。

为什么需要处理OPTIONS预检请求？

浏览器为了安全，会在某些情况下（例如使用了非标准的请求头，或者请求方法不是GET、HEAD、POST）发起预检请求。这个预检请求使用

OPTIONS

方法，目的是询问服务器是否允许真正的请求。

如果服务器没有正确处理

OPTIONS

请求，浏览器会认为服务器不允许该跨域请求，从而阻止真正的请求。所以，处理

OPTIONS

请求是跨域配置中非常重要的一环。

Workerman中如何处理复杂的CORS配置？

复杂的CORS配置可能涉及到不同的路由需要不同的CORS策略，或者需要根据请求头动态调整CORS配置。 你可以创建一个CORS中间件，集中处理CORS逻辑。

// CORS中间件
function corsMiddleware(TcpConnection $connection) {
    $origin = isset($_SERVER['HTTP_ORIGIN']) ? $_SERVER['HTTP_ORIGIN'] : '';
    $allowed_origins = [
        'https://www.example.com',
        'https://api.example.com',
    ];

    if (in_array($origin, $allowed_origins)) {
        $connection->header('Access-Control-Allow-Origin: ' . $origin);
        $connection->header('Access-Control-Allow-Credentials: true');
        $connection->header('Access-Control-Allow-Methods: GET, POST, PUT, DELETE, OPTIONS');
        $connection->header('Access-Control-Allow-Headers: Content-Type, Authorization, X-Requested-With');

        if ($_SERVER['REQUEST_METHOD'] == 'OPTIONS') {
            $connection->send('');
            return true; // 阻止后续处理
        }
        return false; // 继续后续处理
    } else {
        $connection->send('Unauthorized');
        return true; // 阻止后续处理
    }
}


$http_worker->onMessage = function(TcpConnection $connection, $data)
{
    // 先执行CORS中间件
    if (corsMiddleware($connection)) {
        return; // CORS中间件已经处理了请求
    }

    // 实际的业务逻辑
    $connection->send('hello world');
};

使用中间件可以使你的代码更清晰，更易于维护。你可以根据实际需求，扩展这个中间件，例如根据路由配置不同的CORS策略。