Lianer

在绝大多数情况下,ajax请求头中的Origin字段的值是空的,也就是 Origin: "",但在android 4.1/4.2系统上,ajax请求头中的Origin字段的值为null,也就是 Origin: null

如果服务端做了这样处理:将接收到的Origin字段赋值到响应头Access-Control-Allow-Origin参数。

在android 4.1/4.2系统中,就发生了跨域而被浏览器阻止,因为接口返回了Access-Control-Allow-Origin: null

所以建议配置响应头为 Access-Control-Allow-Origin: *,如果要实现白名单功能,可以通过判断Origin来实现,或者CSRF防御等解决方案。