CORS与JSONP跨域请求对比解析

跨域请求是前端开发中绕不开的难题，而CORS与JSONP作为两种经典解决方案，本质迥异：CORS是W3C标准的、由服务器响应头驱动的安全机制，支持全HTTP方法、携带凭证和任意数据格式，适用于现代项目；JSONP则是一种依赖script标签特性的历史“取巧”方式，仅限GET、兼容老旧浏览器但存在XSS风险。本文深入对比二者原理、能力与局限，帮你清晰把握何时该用标准CORS，何时可退守JSONP，并明确指出——在可控服务端环境下，CORS已是不可替代的首选，而JSONP正淡出主流舞台。

跨域请求是前端开发中常见的问题，当页面所在的域名与请求的接口域名不一致时，浏览器出于安全考虑会阻止请求，这就是同源策略的限制。为解决这个问题，CORS 和 JSONP 是两种常用方案。虽然都能实现跨域，但原理和适用场景有很大不同。

CORS：现代主流的跨域解决方案

CORS（Cross-Origin Resource Sharing）是 W3C 标准，通过在服务器端设置响应头来允许浏览器进行跨域请求。

使用 CORS 时，浏览器会在发送请求前自动发起一个 OPTIONS 预检请求，确认服务器是否接受该跨域请求。服务器需返回如 Access-Control-Allow-Origin、Access-Control-Allow-Methods 等响应头。

• 支持所有 HTTP 方法（GET、POST、PUT、DELETE 等）
• 可以携带 Cookie 和认证信息（需设置 withCredentials）
• 请求和响应的数据格式自由，通常使用 JSON
• 需要服务器配合配置响应头
• 兼容现代浏览器，IE10+ 支持较好

JSONP：利用 script 标签绕过同源策略

JSONP（JSON with Padding）是一种利用