为什么在‘Access-Control-Allow-Origin’之后也会被CORS策略阻止：‘*’

在CORS（跨域资源共享）策略中，'Access-Control-Allow-Origin'是一个响应头字段，用于指定允许访问资源的源。当服务器返回的响应中没有包含'Access-Control-Allow-Origin'字段，或者该字段的值不包含请求的源，浏览器就会阻止跨域请求。

即使服务器返回了'Access-Control-Allow-Origin'字段，并且值为'*'（表示允许任何源访问资源），仍然可能被CORS策略阻止的原因有以下几种：

1. 请求中使用了非简单请求方法：非简单请求方法包括PUT、DELETE、CONNECT、OPTIONS、TRACE、PATCH以及使用自定义头部字段的请求。对于这些请求，浏览器会先发送一个预检请求（OPTIONS请求），服务器需要正确处理预检请求并返回合适的响应头字段，才能允许实际请求的发送。
2. 请求中使用了非简单请求头部字段：非简单请求头部字段包括Content-Type、Accept、Authorization等。对于这些字段，浏览器同样会发送预检请求，服务器需要正确处理预检请求并返回合适的响应头字段，才能允许实际请求的发送。
3. 请求中包含了身份凭证（如Cookie、HTTP认证信息等）：当请求中包含了身份凭证时，浏览器会发送带凭证的请求，而不是简单请求。对于带凭证的请求，服务器需要正确处理预检请求并返回合适的响应头字段，才能允许实际请求的发送。
4. 服务器未正确处理预检请求：当浏览器发送预检请求时，服务器需要正确处理该请求并返回合适的响应头字段，包括'Access-Control-Allow-Origin'、'Access-Control-Allow-Methods'、'Access-Control-Allow-Headers'等。如果服务器未正确处理预检请求，浏览器会阻止实际请求的发送。

综上所述，即使服务器返回了'Access-Control-Allow-Origin'字段，并且值为'*'，仍然可能被CORS策略阻止的原因是请求不符合CORS策略的要求，包括非简单请求、非简单请求头部字段、带凭证的请求以及服务器未正确处理预检请求等。在实际开发中，需要根据具体情况进行调试和排查，确保请求符合CORS策略的要求，从而避免被阻止。