不要使用*作为endpoints.cors.allowed-origins的值,应该提供可信赖的域的来限制访问。

    1. endpoints.cors.allowed-origins = http://example.com  
    2. endpoints.cors.allowed-methods = GET,POST