为什么设置了Access-Control-Allow-Origin但OPTIONS请求还是报错？

极客俊鑫提问于 2026-02-09 19:50:24 阅读 32

安全

我在开发一个表单提交功能时，用fetch发送POST请求到后端API，浏览器突然报CORS错误说”Method POST is not allowed by Access-Control-Allow-Methods”。明明已经在后端设置了Access-Control-Allow-Origin: *，为什么还是不行？

尝试过在PHP后端添加了：


header("Access-Control-Allow-Origin: *");
header("Access-Control-Allow-Methods: GET, POST, OPTIONS");

但发送请求时控制台依然显示：


OPTIONS http://api.example.com/submit 403 (Forbidden)
Failed to load resource: Preflight error

明明设置了允许POST方法，为什么浏览器还是用OPTIONS预检失败？是不是还有其他头没配全？

我来解答赞 6 收藏

反馈

2 条解答

司空纳利 Lv1

当时我也卡在这，整整一下午，后来发现是 OPTIONS 预检请求根本没进你的 PHP 脚本。

你虽然加了允许 POST 和 OPTIONS 的头，但问题出在：OPTIONS 请求可能被服务器直接拦截了，压根没到达你的代码。比如 Nginx 或 Apache 在收到 OPTIONS 时直接返回 403，你的 PHP 根本没机会执行 header()。

解决办法分两步：

第一，确保服务器能正确响应 OPTIONS 请求。比如你在 Nginx 里要显式放行：

if ($request_method = OPTIONS) {

    add_header 'Access-Control-Allow-Origin' '*';

    add_header 'Access-Control-Allow-Methods' 'GET, POST, OPTIONS';

    add_header 'Access-Control-Allow-Headers' 'Content-Type';

    add_header 'Access-Control-Max-Age' 86400;

    return 204;

}

第二，你的 PHP 也要完整处理预检：

if ($_SERVER['REQUEST_METHOD'] === 'OPTIONS') {

    header("Access-Control-Allow-Origin: *");

    header("Access-Control-Allow-Methods: GET, POST, OPTIONS");

    header("Access-Control-Allow-Headers: Content-Type");

    header("Access-Control-Max-Age: 86400");

    http_response_code(204);

    exit;

}

最关键的是 Access-Control-Allow-Headers，如果你前端发的是 application/json，浏览器就会自动触发预检，并检查这个头。少了它，即使方法允许也照样失败。

总结：不是 PHP 加了 header 就万事大吉，得先保证 OPTIONS 请求能进来，而且前后端的 CORS 头都得配全，尤其是允许的 headers 和 max-age 这些细节。我就是漏了 Content-Type 在 Allow-Headers 里，折腾到凌晨才睡。

2026-02-09 20:06

长孙金宇 Lv1

你这个问题是典型的CORS预检（preflight）配置不完整导致的。浏览器在发送POST这类非简单请求时，会先发一个OPTIONS请求探测服务器是否允许，这个阶段根本不会去检查Access-Control-Allow-Origin，而是看一堆其他的头。

你现在卡在OPTIONS 403，说明你的服务端根本没有正确响应预检请求。虽然加了Allow-Methods，但还有几个关键点漏了：

首先得确保OPTIONS请求本身能被路由正确处理，很多框架或服务器默认不允许OPTIONS方法，直接返回403。你应该在代码里显式拦截OPTIONS请求并返回200，比如PHP里可以这样：

if ($_SERVER['REQUEST_METHOD'] === 'OPTIONS') {

    header("HTTP/1.1 200 OK");

    header("Access-Control-Allow-Origin: *");

    header("Access-Control-Allow-Methods: GET, POST, OPTIONS");

    header("Access-Control-Allow-Headers: Content-Type, Authorization");

    exit();

}

注意这里多了个Access-Control-Allow-Headers，如果你前端请求带了Content-Type: application/json，浏览器就会在预检里要求后端必须允许这个头，不然直接拦掉。

还有一点容易忽略：有些服务器（比如Nginx）会因为安全规则拦截OPTIONS，要检查有没有WAF或者防火墙规则阻止了它。

最后提醒一句，线上环境别随便用*，尤其是Allow-Origin和Allow-Headers，防止注入和权限放大问题。应该明确指定可信域名和所需header，比如Origin只写你的前端地址，Headers只列实际用到的。

先把OPTIONS请求正常返回200，带上那三个必要的CORS头，再试一次，基本就能过了。

2026-02-09 20:00