HTTP parameter directly written to HTTP header output in

"Origin");
        if (StringUtils.isNotEmpty(origin)) {
            //带cookie的时候，origin必须是全匹配，不能使用*
            res2.addHeader("Access-Control-Allow-Origin", URLEncoder.encode(origin, StandardCharsets.UTF_8.displayName()));
        }

估计是说你把参数直接写进头部了 ，没有做任何处理。