1)参考链接: http://www.ruanyifeng.com/blog/2016/04/cors.html
2)背景:
原页面:http://ss.a.com/test/要请求http://xx.a.com/getUserInfo的跨域接口
3)xx.a.com/getUserInfo设置返回的响应头:
Acess-Control-Allow-origin: 'ss.a.com'
Access-Control-Allow-Credentials: true
(默认为false,不允许带上ss.a.com的cookie,这个设置为true,允许xx.a.com带上ss.a.com的cookie)
浏览器根据响应头判断是否可以跨域
4)注意: 有时候后端为了扩展处理,一些登录模块属于第三方提供,不属于某个三级域名(ss.a.com),而是属于大类二级域名(a.com)。所以一些cookie信息的domain习惯写成*.a.com,所以使用上面那种跨域方式可以不设置Access-Control-Allow-Credentials: true
