我也出现了跨域问题，请问解决了吗？我的是报 OPTIONS 500错误，火狐说是CORS 预检通道未成功

public function behaviors()
    {
        return ArrayHelper::merge([
            'corsFilter' => [
                'class' => Cors::className(),
            ],
        ], parent::behaviors(), [
            'authenticator' => [
                'class'       => CompositeAuth::className(),
                'authMethods' => [
                    HttpBasicAuth::className(),
                    HttpBearerAuth::className(),
                    QueryParamAuth::className(),
                ],
            ],
            'rateLimiter'   => [
                'enableRateLimitHeaders' => false,
            ],
        ]);
    }

修改Origin,先改成*,

这是我自己的代码：

$behaviors['corsFilter'] = [
    'class' => \yii\filters\Cors::class,
    'cors' => [
        'Origin' => ['*'],
        'Access-Control-Request-Method' => ['GET', 'POST', 'PUT', 'PATCH', 'DELETE', 'HEAD', 'OPTIONS'],
        'Access-Control-Request-Headers' => ['*'],
        //'Access-Control-Request-Headers' => ['authorization'],
        //'Access-Control-Allow-Credentials' => true,
        'Access-Control-Max-Age' => 60,
        'Access-Control-Expose-Headers' => ['*'],
    ],
];

这个当然是 可以的

简单的考虑，用 javascript 对密码做一些预处理就可以了，像什么 md5 sha1 之类的 都有开源的js库，当然也可以自己实现 一种加密算法，不过，因为 js代码都是需要下载到本地浏览器运行的，所以 不论你用 js 做什么手脚，即便你可以 对代码 做一些 混淆处理，只要我愿意 并且 有足够的时间 和 耐心，都是可以 读懂你的 js代码，知道你到底对 密码 做了什么处理的。 所以，这种方式 可以说是一种 中看不中用的 花拳绣腿 而已。

安全的方式 当然也有，对 IE 来说，可以使用 ActiveX 控件，对某个版本之前的 chrome 来说，可以使用 npapi插件，这两种方式 比 js 的方案都 安全很多，因为 看不到 源代码了。不过 遗憾的是：某个版本之后 chrome 取消了 对 npapi插件的支持，所以 这么多年以来 很多的 网上银行 都是只支持 IE 登录的，原因就是 chrome 下没有一种安全的 客户端密码加密方案。