PHP不直接处理视频跨域播放,关键在于服务端响应头配置;需在输出前设置Access-Control-Allow-Origin等CORS头,且206响应也须包含;更推荐用Nginx/Apache或CDN配置CORS。
PHP 本身不直接处理视频跨域播放
浏览器的视频跨域限制(如 标签加载 https://cdn.example.com/video.mp4)由服务端响应头控制,和 PHP 脚本是否运行无关。即使你用 PHP readfile() 输出视频流,只要响应头没配对,依然会触发 No 'Access-Control-Allow-Origin' header 错误。关键不是“PHP 怎么播”,而是“PHP 作为服务端时怎么发对的头”。
给 PHP 输出的视频流加 CORS 响应头
适用于 PHP 直接代理或动态生成视频 URL 的场景(比如权限校验后才允许播放)。必须在输出二进制数据前设置全部响应头,且不能有任何输出(包括空格、BOM、echo)。
- 必须设置
Access-Control-Allow-Origin,如需携带 cookie 还要加Access-Control-Allow-Credentials: true - 如果前端用
fetch()或XMLHttpRequest请求视频片段(如 MSE 场景),还需支持预检:Access-Control-Allow-Methods: GET、Access-Control-Allow-Headers: Range -
Content-Type和Content-Length必须准确,否则浏览器可能中断加载或无法拖拽 - 避免使用
header('Access-Control-Allow-Origin: *'配合
)
credentials,这会被浏览器拒绝
header('Access-Control-Allow-Origin: https://your-app.com');
header('Access-Control-Allow-Credentials: true');
header('Access-Control-Allow-Methods: GET');
header('Access-Control-Allow-Headers: Range');
header('Accept-Ranges: bytes');
header('Content-Type: video/mp4');
header('Content-Length: ' . filesize($videoPath));
readfile($videoPath);
更推荐:用 Web 服务器配置 CORS,而非 PHP
绝大多数视频文件是静态资源(如存放在 /videos/ 目录下),让 Nginx 或 Apache 处理 CORS 更高效、更可靠。PHP 不该承担这个职责——它既不缓存、也不压缩、还容易因错误输出破坏响应流。
- Nginx 示例(在 location 块中):
add_header 'Access-Control-Allow-Origin' 'https://your-app.com';,并确保add_header在try_files后仍生效(可用always参数) - Apache 需启用
mod_headers,在.htaccess或虚拟主机配置中写:Header set Access-Control-Allow-Origin "https://your-app.com" - CDN(如 Cloudflare、阿里云 CDN)通常提供可视化 CORS 配置入口,优先走 CDN 层面解决
注意 Range 请求与 206 响应的 CORS 兼容性
浏览器拖拽进度条时会发带 Range: bytes=xxx- 的请求,服务端返回 206 Partial Content。很多 PHP 脚本只在 200 响应里加 CORS 头,漏掉 206,导致拖拽失败。Nginx/Apache 默认对 206 自动复用 200 的 headers;但自写 PHP 脚本必须显式为 206 响应设置所有 CORS 头。
- 检查是否用了
http_response_code(206)却忘了重复调用header() - 务必验证
curl -I -H "Range: bytes=0-999" https://yoursite.com/video.php返回的响应头是否完整 - 某些老旧 PHP 版本(如 7.0 以下)对 206 的 header 处理有 bug,建议升级
