CORS是现代跨域主流方案,通过服务器设置响应头实现,支持所有HTTP方法且更安全;JSONP利用script标签特性绕过同源策略,仅支持GET请求,兼容老浏览器但存在XSS风险。
跨域请求是前端开发中常见的问题,当页面所在的域名与请求的接口域名不一致时,浏览器出于安全考虑会阻止请求,这就是同源策略的限制。为解决这个问题,CORS 和 JSONP 是两种常用方案。虽然都能实现跨域,但原理和适用场景有很大不同。
CORS:现代主流的跨域解决方案
CORS(Cross-Origin Resource Sharing)是 W3C 标准,通过在服务器端设置响应头来允许浏览器进行跨域请求。
使用 CORS 时,浏览器会在发送请求前自动发起一个 OPTIONS 预检请求,确认服务器是否接受该跨域请求。服务器需返回如 Access-Control-Allow-Origin、Access-Control-Allow-Methods 等响应头。
- 支持所有 HTTP 方法(GET、POST、PUT、DELETE 等)
- 可以携带 Cookie 和认证信息(需设置 withCredentials)
- 请求和响应的数据格式自由,通常使用 JSON
- 需要服务器配合配置响应头
- 兼容现代浏览器,IE10+ 支持较好
JSONP:利用 script 标签绕过同源策略
JSONP(JSON with Padding)是一种利用 标签不受同源策略限制的特性来实现跨域的方法。它通过动态创建 script 标签,请求一个返回 JavaScript 函数调用的接口。
立即学习“Java免费学习笔记(深入)”;
例如,请求的 URL 可能是:https://api.example.com/data?callback=handleData,服务器返回:handleData({"name": "John"}),从而执行回调函数。
- 只支持 GET 请求,无法发送 POST 或其他方法
- 不能携带自定义请求头或 Cookie(除非 domain 允许)
- 无需服务器开启 CORS 头,但需支持 callback 参数返回函数调用
- 兼容性极好,支持老版本浏览器(包括 IE6)
- 存在一定的安全风险,如 XSS 攻击,需谨慎处理回调内容
对比总结:选型建议
两者本质不同:CORS 是标准的 HTTP 跨域机制,而 JSONP 是一种“hack”式技巧。
- 如果可以控制服务器端,优先使用 CORS,更安全、功能完整
- 若需兼容非常旧的浏览器且只能发 GET 请求,可考虑 JSONP
- 现代项目中,JSONP 已逐渐被淘汰,推荐使用 CORS 配合代理(如 Nginx 或开发环境 proxy)解决跨域
- 安全性上,CORS 更可控,可通过 Origin 精确限制来源;JSONP 容易被注入恶意脚本
基本上就这些。CORS 是当前的标准做法,JSONP 仅作为历史兼容手段存在。理解它们的差异有助于在实际项目中做出合理选择。
