跨域的解决方案

网上跨域的解决方案有很多，但是比较新一点有两种，一个是jsonp，一个是cors。
cors比jsonp还要新一些，本文所述都是基于cors的。但是jsonp可以在不支持cors的浏览器中使用。
如果只是开发的时候临时需要跨域，生产环境下前台和后台都部署到同一个域名下，不会发生跨域的话，那么我推荐用这个谷歌插件。它不需要改后台代码，相当于返回的请求头部自动加了：

Access-Control-Allow-Origin : *

这样用通配符就可以临时解决跨域问题。

携带cookies的跨域解决方案

有的时候访问后台的请求需要携带cookie以供后台分析，比如jQuery的ajax请求：

$.ajax({
url: a_cross_domain_url,
 xhrFields: {
 withCredentials: true
}
});

这个时候就要求能跨域，还要能携带cookies，我没找到能实现这两个的插件，也就是要更改后台代码。
携带cookies也就是要返回Access-Control-Allow-Credentials: true，在Java下的实现大概是这个样子：

response.addHeader("Access-Control-Allow-Credentials", "true");

关于跨域的Access-Control-Allow-Origin头，再像上面那样设置为*就不行了，会报错。在Access-Control-Allow-Credentials设置为true的时候，Access-Control-Allow-Origin不能被设置为通配符。所以解决思路就是在返回的时候设置为请求头中Origin的值。在Java下的实现大致是这样的：

response.setHeader("Access-Control-Allow-Origin", request.getHeader("Origin"));

这样就能实现基于cors的携带cookies的跨域访问了。