的七种用法)
在 PHP 里,header()的定位很清晰:它负责把 HTTP 响应头 写进响应报文。核心铁律只有一条:必须在任何输出之前调用(包括 BOM、空格、echo、var_dump、模板渲染)。否则就会触发“headers already sent”类问题。🙂
header() 的 7 种高频用法(企业实战版)
1)页面跳转(Location 重定向)🚀
header('Location: /login.php', true, 302); exit;解释:
Location让客户端发起新的请求,实现跳转。302表示临时跳转;如果是永久迁移可用301。exit是“止损开关”:避免后续代码继续输出导致逻辑串台。
2)设置响应状态码(不改内容也能表达结果)
http_response_code(404); header('Content-Type: text/plain; charset=UTF-8'); echo 'Not Found';解释:
http_response_code(404)更语义化;也可用header('HTTP/1.1 404 Not Found');但不如前者直观。配合
Content-Type明确返回体类型,减少客户端误判。
3)指定 Content-Type(JSON / HTML / 图片等)
header('Content-Type: application/json; charset=UTF-8'); echo json_encode(['ok' => true, 'ts' => time()], JSON_UNESCAPED_UNICODE);解释:
application/json告诉客户端按 JSON 解析。charset=UTF-8避免中文乱码。JSON_UNESCAPED_UNICODE让中文不被转义,日志与调试更友好。
4)触发下载(Content-Disposition 附件)
$filename = 'report.csv'; header('Content-Type: text/csv; charset=UTF-8'); header('Content-Disposition: attachment; filename="'.$filename.'"'); echo "id,name\n1,alice\n";解释:
attachment会让浏览器走“下载”而不是直接预览。filename指定默认文件名;实际项目注意文件名编码兼容。这类接口通常要控制缓存与权限,否则就是“数据外泄加速器”。
5)缓存策略(Cache-Control / Expires)⏱️
header('Cache-Control: no-store, no-cache, must-revalidate, max-age=0'); header('Pragma: no-cache'); header('Expires: 0');解释:
这套组合拳用于“敏感页面/后台接口”,避免被浏览器或中间缓存复用。
Cache-Control是主策略;Pragma/Expires用于兼容旧链路与代理。
6)跨域访问(CORS)🌍
header('Access-Control-Allow-Origin: https://example.com'); header('Access-Control-Allow-Methods: GET,POST,OPTIONS'); header('Access-Control-Allow-Headers: Content-Type, Authorization'); if ($_SERVER['REQUEST_METHOD'] === 'OPTIONS') { http_response_code(204); exit; }解释:
这是典型的“预检请求”处理:
OPTIONS直接返回204,减少无意义业务开销。Allow-Origin建议固定域名,别一把梭*(权限边界会崩)。生产上常配合鉴权与限流,否则跨域只是把攻击面搬到前端。
7)安全响应头(最小成本提升安全基线)🛡️
header('X-Frame-Options: DENY'); header('X-Content-Type-Options: nosniff'); header("Content-Security-Policy: default-src 'self'"); header('Referrer-Policy: no-referrer');解释:
DENY防点击劫持(不允许被 iframe 嵌套)。nosniff防止浏览器猜测 MIME 类型导致的风险。CSP是“强约束白名单”,能显著降低 XSS 攻击面(注意逐步收紧策略)。Referrer-Policy控制来源信息泄露。
原理速查表(让你写得更像“有体系的工程实现”)
| 场景 | 关键头 | 目标 | 关键风险点 |
|---|---|---|---|
| 跳转 | Location | 引导流量/统一入口 | 未exit导致后续输出污染 |
| 状态表达 | Status Code | 让客户端正确分支 | 状态码与返回体不一致 |
| 数据协议 | Content-Type | 统一解析口径 | 缺 charset 造成乱码 |
| 下载交付 | Content-Disposition | 浏览器下载而非预览 | 缓存/权限控制不足 |
| 缓存治理 | Cache-Control | 防复用/控时效 | 误缓存导致“旧数据” |
| 跨域 | CORS | 前后端解耦 | *放大攻击面 |
| 安全基线 | CSP 等 | 降低 XSS/劫持 | 策略过严导致资源加载失败 |
一张“最短路径”脑图(记忆成本最低)
mindmap root((header())) 输出前调用 避免 headers sent 跳转 Location 301/302 状态码 http_response_code 类型声明 Content-Type 文件下载 Content-Disposition 缓存控制 Cache-Control 跨域 Access-Control-* 安全头 CSP/HSTS/Frame-Options两个务实的避坑建议(少踩坑=省成本)
在关键入口加一行“自检”,能省掉大量线上定位时间:
if (headers_sent($file, $line)) { throw new RuntimeException("Headers already sent in $file:$line"); }解释:
headers_sent()能定位是谁先输出,属于“快速止血手段”。
复杂模板输出前,优先用 输出缓冲 兜底(可控但别滥用):
ob_start(); // ... 业务渲染 header('Content-Type: text/html; charset=UTF-8'); ob_end_flush();解释:
ob_start()让输出先进入缓冲区,给 header 留出空间;但要控制内存与响应大小。
如果你告诉我你的业务场景是“API 网关/后台管理/下载中心/跨域前端”,我可以把这 7 套用法进一步收敛成一套“可复制的响应头策略模板”,直接落到你们的框架中复用。
