HTML script 标签的 crossorigin 属性用于控制脚本资源的跨域请求行为，尤其是在加载第三方脚本时。如果使用不当，可能会导致获取脚本报错，影响页面功能。一、crossorigin 属性简介crossorigin 是

加 crossorigin="anonymous" 是获取第三方脚本真实错误信息的必要条件，但仅加属性没用——服务端必须返回匹配的 Access-Control-Allow-Origin 响应头，否则资源加载失败，window.onerror 根本不会触发。

为什么不加 crossorigin 就只能看到 “Script error.”

浏览器对跨域脚本有主动屏蔽机制：只要 和当前页面不同源，且没声明 crossorigin，哪怕脚本执行时报了 TypeError: Cannot read property 'x' of undefined，window.onerror 也只会收到三个固定参数："Script error.", "", 0。这不是 bug，是安全策略。

• 纯前端无法绕过，try/catch 捕不到全局执行错误
• Promise.catch 或 window.addEventListener('unhandledrejection') 同样受限，只对同域 Promise 有效
• 即使你把第三方脚本 copy 到自己域名下再引用，只要没配 CORS 响应头，依然会屏蔽错误

crossorigin="anonymous" 必须和服务端响应头配对

加了 crossorigin="anonymous" 只是告诉浏览器：“请走 CORS 流程”，但最终能否拿到错误详情，取决于服务端是否返回了合法响应头。常见错误组合：

• 服务端返回 Access-Control-Allow-Origin: * → ✅ 有效，window.onerror 可拿到完整堆栈
• 服务端返回 Access-Control-Allow-Origin: https://your-site.com → ✅ 有效，且更安全
• 服务端没返回任何 Access-Control-Allow-Origin → ❌ 控制台报 No 'Access-Control-Allow-Origin' header，脚本加载失败，onerror 不触发
• 服务端返回 Access-Control-Allow-Origin: * 但用了 crossorigin="use-credentials" → ❌ 浏览器直接拒绝响应（* 和凭据互斥）

注意：crossorigin 不写值（如 标签好加 crossorigin，但工程化项目里大量脚本是通过 import() 动态加载的——这些 chunk 默认不带该属性，部署到 CDN 后立刻丢失错误堆栈。

• Webpack：在 webpack.config.js 中设 output.crossOriginLoading: 'anonymous'
• Vite：在 vite.config.ts 的 build.rollupOptions.output 中加 crossOrigin: 'anonymous'，或用插件注入 script 标签属性
• 没配时生成的 HTML 类似： → 错误全变 Script error.
• 配了之后才是：

integrity 和 crossorigin 必须一起用才生效

如果你还用了 integrity（比如 SRI 校验），那 crossorigin 不只是“可选”，而是强制要求。浏览器校验逻辑是：先走 CORS 流程 → 成功后才比对 hash；没 crossorigin，哪怕 integrity 值完全正确，也会跳过校验。

• 正确写法：
• 错误写法： → integrity 形同虚设
• 本地双击 HTML 文件（file:// 协议）时，crossorigin 被忽略，所有依赖它功能（错误捕获、SRI）都会失效

最常被忽略的一点：服务端返回的 Access-Control-Allow-Origin 必须和当前页面协议+域名完全一致（https://a.com 不能匹配 http://a.com），哪怕只差一个 s，错误堆栈就回不来。

今天带大家了解了的相关知识，希望对你有所帮助；关于文章的技术知识我们会一点点深入介绍，欢迎大家关注golang学习网公众号，一起学习编程~