看了个文章明白了
http://www.ruanyifeng.com/blog/2016/04/cors.html
文章中有说:
3.2:
需要注意的是,如果要发送Cookie,Access-Control-Allow-Origin就不能设为星号,必须指定明确的、与请求网页一致的域名。同时,Cookie依然遵循同源政策,只有用服务器域名设置的Cookie才会上传,其他域名的Cookie并不会上传,且(跨源)原网页代码中的document.cookie也无法读取服务器域名下的Cookie。
请注意
且(跨源)原网页代码中的document.cookie也无法读取服务器域名下的Cookie。
前台可读取的
headers:
"content-type": "application/json;charset=UTF-8"
haha: "woshikaikai"
响应头:
Accept
application/json, text/plain, */*
Accept-Encoding
gzip, deflate
Accept-Language
zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Connection
keep-alive
Content-Length
26
Content-Type
application/json;charset=utf-8