Resumen: mostrar cómo usar encabezados HTTP y la función header en PHP para permitir CORS y métodos como GET, POST, PUT, OPTIONS y DELETE.

CORS no es algo que se habilite o permita, es una forma de compartir recursos en dominios u orígenes distintos. Por ejemplo, permitir que sitio.com le haga peticiones a parzibyte.me

Para ello, el servidor debe estar de acuerdo y debe enviar algunos encabezados.

Los encabezados

Supongo que hay varios pero aquí pongo los más importantes y comunes.

• Access-Control-Allow-Origin: los orígenes permitidos, que debe ser el dominio con todo y http o https.
• Access-Control-Allow-Headers: encabezados permitidos. En la mayoría de casos solo es el content-type
• Access-Control-Allow-Methods: métodos o verbos HTTP permitidos

En Allow-Origin podemos poner un * pero recomiendo siempre poner el dominio

En Allow-Methods podemos colocar varios verbos HTTP separados por coma.

CORS con PHP

Ando haciendo un tutorial de HTTP de Angular con PHP, y para ello PHP debe usar CORS porque las peticiones de HttpClient de Angular las hago de un dominio distinto a donde tengo mi servidor.

Por ello es que tengo un archivo de cors:

See the gist on github.

Recuerda que debes cambiar la variable $dominioPermitido por tu dominio desde donde haces las peticiones con JS.

Después lo incluyo al inicio de todos los archivos que van a servir para armar la API. Obviamente esto se puede simplificar poniendo todo en una función común o con un autoload.

Yo lo coloco en la parte superior por simplicidad:

See the gist on github.

Y aunque en este caso estoy consumiendo la API con Angular, esta configuración es general y debería funcionar para cualquier otro framework, incluso funcionaría para fetch.

Nota final importante: recuerda que al menos en PHP los encabezados deben ser los que se imprimen antes de cualquier cosa, es decir, antes de un echo, printf o cosas que escriban en el cuerpo de respuesta.