CodeIgniter4 中解决 CORS 跨域问题的完整指南

问题背景

在前后端分离的开发模式中，CORS（跨源资源共享）是一个常见的技术挑战。当使用 CodeIgniter4 作为后端 API 服务，Vue.js 作为前端框架时，开发者经常会遇到跨域请求被浏览器拦截的问题。本文将以一个实际案例为基础，详细介绍如何在 CodeIgniter4 中正确配置 CORS。

标准解决方案

CodeIgniter4 提供了内置的 CORS 过滤器，可以通过配置文件轻松实现跨域支持。以下是推荐的配置方式：

1. 修改 app/Config/Cors.php 文件：

public array $api = [
    'allowedOrigins' => ['http://localhost:5173'], // 允许的前端地址
    'allowedOriginsPatterns' => [],
    'supportsCredentials' => false,
    'allowedHeaders' => ['Authorization', 'Content-Type', 'X-Requested-With'],
    'exposedHeaders' => [],
    'allowedMethods' => ['GET', 'POST', 'PUT', 'DELETE', 'OPTIONS'],
    'maxAge' => 7200,
];

2. 在路由配置中应用 CORS 过滤器：

$routes->group('api/v1', [
    'namespace' => 'App\Controllers\Api',
    'filter' => 'cors:api'
], function (RouteCollection $routes) {
    $routes->match(['post', 'options'], 'auth/signup', 'AuthController::signup');
});

常见问题排查

如果标准配置无效，可能是以下原因导致的：

1. 缓存问题：CodeIgniter4 会缓存配置，修改配置后需要清除缓存。可以通过删除 writable/cache 目录下的文件或运行 php spark cache:clear 命令解决。

2. Vite 配置：使用 Vite 开发时，确保 vite.config.js 中启用了 CORS 支持：

server: {
  cors: true
}

3. OPTIONS 方法处理：预检请求(OPTIONS)必须被正确处理，确保路由中包含 OPTIONS 方法。

自定义过滤器方案

如果内置方案不满足需求，可以创建自定义 CORS 过滤器：

1. 创建 app/Filters/CorsFilter.php：

namespace App\Filters;

use CodeIgniter\Filters\FilterInterface;
use CodeIgniter\HTTP\RequestInterface;
use CodeIgniter\HTTP\ResponseInterface;

class CorsFilter implements FilterInterface
{
    public function before(RequestInterface $request, $arguments = null)
    {
        $request->setHeader('Access-Control-Allow-Origin', '*');
        $request->setHeader('Access-Control-Allow-Methods', 'GET, POST, OPTIONS');
        $request->setHeader('Access-Control-Allow-Headers', 'Origin, Content-Type, Accept, Authorization, X-Requested-With');
        return $request;
    }

    public function after(RequestInterface $request, ResponseInterface $response, $arguments = null)
    {
        $response->setHeader('Access-Control-Allow-Origin', '*');
        $response->setHeader('Access-Control-Allow-Methods', 'GET, POST, OPTIONS');
        $response->setHeader('Access-Control-Allow-Headers', 'Origin, Content-Type, Accept, Authorization, X-Requested-With');
        return $response;
    }
}

2. 在路由中使用自定义过滤器：

$routes->group('api/v1', [
    'namespace' => 'App\Controllers\Api',
    'filter' => 'CorsFilter'
], function (RouteCollection $routes) {
    // 路由定义
});

安全建议

1. 生产环境中不要使用通配符(*)作为允许的来源，应该明确指定前端地址
2. 根据实际需求限制允许的 HTTP 方法和头信息
3. 考虑启用 supportsCredentials 如果需要传递认证信息
4. 合理设置 maxAge 减少预检请求次数

总结

CodeIgniter4 提供了灵活的方式处理 CORS 问题，开发者可以根据项目需求选择内置方案或自定义实现。关键是要理解 CORS 机制的工作原理，确保前后端配置一致，并注意清除缓存使配置生效。通过本文介绍的方法，开发者应该能够解决大多数跨域请求问题。