悬而未决：奇怪的不允许跨域CORS policy的问题

我在本地HBuilderX中进行预览写好的前端网页，它里面用了ajax访问了远程服务器的后端API网址，不出意外地报不允许跨域访问的错了：Access to XMLHttpRequest at ‘http://xxx.com/MemberUser/login’ from origin ‘http://mh.com’ has been blocked by CORS policy: No ‘Access-Control-Allow-Origin’ header is present on the requested resource.

因为我后端用的是PHP，查了一下网上的资料，说是可以直接使用header输出Access-Control-Allow-Origin:*就行。但我加上后，发现浏览器中仍然没有这个header属性！但我用ApiFox来访问它，却是有这个属性！

因为我用的是nginx做反向代理到Apache+PHP-FPM服务器，所以我就在nginx配置文件中又明确增加这个header输出。好家伙，这下用ApiFox来访问它，直接有了两条一样的Access-Control-Allow-Origin:*。用浏览器也有了正常的一条。这我就奇怪了，上面这个现象说明nginx是没有过滤掉这个header的，应该是浏览器过滤掉了php输出的header，但它为什么又没有过滤掉nginx输出的这个header呢？ 我想来想去，可能是因为用的PHP框架中我没办法把这个header输出到网页内容的头部区？

在NginX中增加了header输出，虽然解决了跨域的报错，但还出来一个新问题，就是用$.post()访问的时候后端ThinkPHP检测它又变成了非AJAX方式了！经过调试，发现原来是JQuery的$.post()也有跨域的问题，它会自动把跨域的访问去掉X-Requested-With:XMLHttpRequest这个header，导致服务器不再认可它是AJAX访问!