不想多说 就随意记录下客户端cros跨域时会先发送预请求options。如果这时你判断session里的用户就会出现为空的情况。因为浏览器每次发送options请求的sessionid都不一样。所以在过滤器应该出理options请求 直接放行。