CORS是现代跨域标准,通过服务器设置响应头支持所有请求方法和凭证传输;JSONP利用script标签特性仅支持GET请求,兼容性好但安全性差。新项目应优先采用CORS方案。
跨域问题源于浏览器的同源策略,限制了不同源之间的资源请求。为解决这一问题,CORS 和 JSONP 是两种常见方案,虽然目标一致,但实现机制和适用场景差异明显。
CORS:现代标准的跨域方案
CORS(Cross-Origin Resource Sharing)是 W3C 推出的标准机制,通过在服务器端设置响应头,允许指定的外部源访问资源。
- 基于 HTTP 请求头控制,如 Access-Control-Allow-Origin 指定可接受的来源
- 支持所有 HTTP 方法(GET、POST、PUT、DELETE 等)
- 能携带认证信息(如 cookies),只需设置 withCredentials 为 true
- 浏览器自动发送预检请求(OPTIONS)用于复杂请求,确保安全性
优点是功能完整、语义清晰,适用于现代前后端分离架构。缺点是依赖服务器配置,老旧浏览器支持有限。
JSONP:利用 script 标签绕过限制
JSONP(JSON with Padding)是一种“hack”式解决方案,利用 script 标签不受同源策略限制的特性实现跨域数据获取。
- 只支持 GET 请求,无法发送 POST 或其他方法
- 通过动态创建 script 标签,请求 URL 返回一段 JavaScript 函数调用,传入 JSON 数据
- 需要后端配合返回函数调用格式,如 callbackName({"data": "value"})
- 不支持错误处理机制,超时或失败难以捕获
优点是兼容性好,可在无 CORS 支持的旧环境中使用。缺点是安全性差(易受 XSS 攻击)、缺乏灵活性,且无法携带凭证头。
核心对比与选择建议
两者本质不同:CORS 是官方规范,基于 HTTP 协议扩展;JSONP 是利用标签特性的变通手段。
- 安全性:CORS 更可控,支持精细权限管理;JSONP 易被注入恶意脚本
- 功能完整性:CORS 支持所有请求类型和头部;JSONP 仅限 GET
- 调试体验:CORS 在开发者工具中可查看完整请求/响应;JSONP 难以追踪错误
- 适用场景:新项目优先使用 CORS;维护老系统且无法修改服务端时可考虑 JSONP
基本上就这些。CORS 是当前主流且推荐的方式,JSONP 作为历史方案逐渐被淘汰。理解它们的原理有助于在实际开发中做出合理选择。
