HTML script 标签中使用 `crossorigin="use-credentials"` 时，会携带 Cookie 的脚本请求。这种设置允许浏览器在跨域请求中发送身份验证信息（如 Cookie），但需要服务器正确配置 CORS 响应头，以避免安全限制。

HTML 规范明确禁止 script 标签在跨域加载时携带 Cookie，因此 `crossorigin="use-credentials"` 在 script 元素上完全无效——它既不会触发浏览器发送凭证，也不会改变请求的凭据模式（始终为 omit），仅影响错误信息暴露精度和 CORS 检查行为；若需执行受 Cookie 保护的远程脚本，必须改用 fetch + credentials: "include" 获取后动态执行（但存在严重 XSS 风险），或更安全地将敏感逻辑移至后端 API；真正能自动携带 Cookie 的资源类型包括 img、link、iframe、fetch 和 XMLHttpRequest，而 script 是唯一被规范硬性隔离的例外，这是刻意为之的安全设计，而非 bug 或配置失误。

crossorigin="use-credentials" 对 script 标签根本无效

直接说结论：crossorigin="use-credentials" 在 放上去，后端 CORS 头写了 Access-Control-Allow-Origin: https://your-site.com 和 Access-Control-Allow-Credentials: true，但请求里始终没有 Cookie 头，控制台也看不到凭证被发送。

原因很简单：script 元素的 fetch 模式固定为 omit（即忽略 credentials），crossorigin 属性只影响 CORS 预检、错误信息暴露和 error 事件的细节，不改变凭据策略。

想让脚本请求带 Cookie？只能用动态 fetch + eval（不推荐）或绕过同源限制

如果你真需要执行一段受 Cookie 保护的远程 JS（比如用户登录态校验后的定制化逻辑），必须放弃