根据课程里老师说的，Access-Control-Allow-Origin这个值在nginx代理服务器那里已经配置好了，用的是动态的request请求域名，所以这里的origin可以不用设置。@CrossOrigin这个注解原理是利用spring中内置的拦截器对报文进行修改，而因为getCookie中添加了xhrFields： withCredentials: true这个属性，所以需要在响应报文中添加Access-Control-Allow-Credentials这个属性，但他默认为false，所以设置为true就可以了