ajax 跨域请求以及跨域cookie提交

ajax在跨域时，会遇到2个问题，阻碍我们的一些需求。

1、在浏览器提交一个ajax请求时，如果是跨域的，那么不会携带 cookie ，那么导致的问题就是，一些放在cookie中的身份信息就没法提交，导致服务端认为你是没有登录的等等。

2、在浏览器收到跨域的ajax请求返回时，如果header中没有“Access-Control-Allow-Origin”，并且值为*或者浏览器当前访问网页的域名时，那么会直接进入ajax的error方法中，而不会将返回内容交给js引擎。

那么，如果在ajax跨域访问一个需要登陆的资源时，不解决上面2点问题，则无法获取到内容。

网上很多人说跨域ajax时，浏览器不会发起请求，这是不对的，其实请求会发出去，但是如果返回的header中没有上面描述的 “Access-Control-Allow-Origin”，那么浏览器直接将返回的内容丢弃罢了。

针对 第一点，需要在 ajax请求参数中带上 withCredentials ，值为true。如果是 jquery方式，则是这样设置：

$.ajax({
   url: a_cross_domain_url,
   // 将XHR对象的withCredentials设为true
   xhrFields:{
      withCredentials:true
   }});

针对这样一般的浏览器（IE11以下版本不支持，还有个别垃圾浏览器不支持，这点请注意）就会允许跨域资源共享。

同时服务器端还需要设置 Access-Control-Allow-Credentials 为true。

如下面是 java 的设置方式：
response().setHeader("Access-Control-Allow-Credentials", "true");

针对第二点，在服务端的代码中设置即可。如下面是java的设置方式：

response().setHeader("Access-Control-Allow-Origin", "fromeDomain.com");

注意，这里fromeDomain.com 不能设置为 * 来允许全部，如果在 Credentials 是true 的情况下。因为浏览器会报错如下：
A wildcard '*' cannot be used in the 'Access-Control-Allow-Origin' header when the credentials flag is true. Origin 'http://10.0.0.3:18080' is therefore not allowed access

 所以只能乖乖的设置成客户端页面的 域名。