如果跨越需要前端带上cookie 需要设置返回的cookie SameSite=None 同时由于这个只对HTTPS有效所以需要设置 cookie的 Secure 属性
例如以下把token放到cookie里面返回,这样客户端浏览器请求接口的时候无需手工带上token,浏览器会自动带上
response.addHeader("Set-Cookie", String.format("%s; %s",
String.format("token=%s; Max-Age=%s; Path=/;%s HttpOnly", token, 3600, " Secure;"), "SameSite=None"));