CORS与JSONP跨域区别详解

JavaScript跨域请求受限于浏览器同源策略，CORS与JSONP是突破限制的两大主流方案，但本质迥异：CORS是服务端配置响应头的标准机制，支持全HTTP方法、凭证传递和精准错误处理，安全可控且现代浏览器广泛兼容；JSONP则是客户端利用script标签“绕行”的历史兼容方案，仅限GET、无预检但存在XSS风险且调试困难。是否选用取决于实际约束——若可协调服务端，CORS无疑是更规范、强大与安全的首选；JSONP仅在需兼容古董浏览器或对接仅提供该接口的老旧第三方服务时才不得已而用之，且两端协同缺一不可。

JavaScript跨域请求，本质是浏览器出于安全考虑实施的同源策略限制：当页面脚本试图向非同源（协议、域名、端口任一不同）的服务器发起请求时，XMLHttpRequest 或 fetch 默认被拦截。要突破这个限制，CORS 和 JSONP 是两种典型方案，但原理、能力与适用场景差异明显。

CORS 是服务端驱动的标准方案

CORS（Cross-Origin Resource Sharing）是 W3C 标准，依赖服务器在响应头中明确声明允许哪些源访问资源。浏览器自动处理整个流程，开发者调用 fetch 或 XMLHttpRequest 的方式和同源请求完全一样。

• 支持所有 HTTP 方法（GET、POST、PUT、DELETE 等），可传 Cookie（需设置 withCredentials: true 并服务端配 Access-Control-Allow-Credentials: true）
• 简单请求（如 GET/POST + 纯文本 Content-Type）直接发送；复杂请求（如带自定义 header 或 Content-Type: application/json）会先发 OPTIONS 预检请求
• 服务端必须配置关键响应头，例如：
  Access-Control-Allow-Origin（指定允许的源，不能为 * 时配合 credentials）
  Access-Control-Allow-Methods
  Access-Control-Allow-Headers
• 现代浏览器全支持（IE10+），错误可捕获、调试信息清晰

JSONP 是客户端绕过的兼容性方案

JSONP 不是标准协议，而是利用