Laravel通过fruitcake/laravel-cors扩展包解决CORS跨域问题，安装后发布配置文件config/cors.php并设置allowed_origins、allowed_methods等参数，全局或仅API路由注册\Fruitcake\Cors\HandleCors::class中间件，自动处理预检请求与响应头，注意supports_credentials启用时allowed_origins不可为*以确保安全。

Laravel处理CORS跨域问题主要通过配置中间件来实现。当你的前端应用（如Vue、React）运行在与Laravel后端不同的域名或端口时，浏览器会因同源策略阻止请求，此时就需要正确配置CORS（跨域资源共享）。

安装laravel-cors扩展包

Laravel官方推荐使用fruitcake/laravel-cors来统一管理CORS配置。该扩展包基于spatie/laravel-cors构建，能灵活控制跨域规则。

在项目根目录执行以下命令安装：

• composer require fruitcake/laravel-cors

安装完成后，无需手动注册服务提供者（Laravel 6+支持自动发现），但需发布配置文件以便自定义规则：

• php artisan vendor:publish --tag="cors"

配置cors.php文件

执行发布命令后，会在config/cors.php生成配置文件。你可以根据项目需求调整允许的来源、方法、头部等。

常见配置项说明：

• allowed_origins：允许跨域请求的域名列表，例如['http://localhost:3000', 'https://your-frontend.com']，可使用*表示允许所有域名（生产环境慎用）
• allowed_methods：允许的HTTP方法，如['GET', 'POST', 'PUT', 'DELETE']

• allowed_headers：允许携带的请求头，例如['Content-Type', 'Authorization', 'X-Requested-With']
• supports_credentials：是否支持凭据（如Cookie），若设为true，allowed_origins不能为*，必须明确指定域名

全局启用CORS中间件

打开app/Http/Kernel.php文件，在$middleware数组中添加CORS中间件以确保每个请求都检查跨域规则：

• \Fruitcake\Cors\HandleCors::class

这样配置后，所有路由都会自动应用config/cors.php中的规则，包括API和Web请求。

针对API路由单独控制（可选）

如果你只想对/api/*路由启用CORS，可以将中间件注册到$middlewareGroups中的api组：

• 在Kernel.php的'api'中间件组中加入：\Fruitcake\Cors\HandleCors::class

这种方式更适合前后端分离项目，避免影响Web页面的其他逻辑。

基本上就这些。只要正确安装并配置fruitcake/laravel-cors，Laravel就能自动响应浏览器的预检请求（OPTIONS），并返回正确的CORS头信息，解决绝大多数跨域问题。不复杂但容易忽略的是supports_credentials和allowed_origins的配合使用，务必注意安全性。