['api/*'], // 允许的方法 'allowed_methods' => ['*'], // 允许的源（通配；若改成 supports_credentials=true，必须列具体域名） 'allowed_origins' => ['*'], // 允许的源（正则匹配，按需启用） 'allowed_origins_patterns' => [], // 允许的请求头 'allowed_headers' => ['*'], // 暴露给前端的响应头 'exposed_headers' => [], // 预检请求缓存时间（秒） 'max_age' => 7200, // 是否允许携带凭证（cookie / 客户端证书）；本项目用 Bearer token，保持 false 'supports_credentials' => false, ];