JavaScript跨域核心靠服务端配合，前端无法绕过同源策略；主要方式为CORS（现代标准，支持全HTTP方法、凭证、预检）和JSONP（历史方案，仅GET、无错误捕获、有XSS风险）。

JavaScript处理跨域请求主要靠服务端配合，前端无法绕过同源策略。核心方式是CORS（现代标准方案）和JSONP（历史兼容方案），两者原理、适用场景和限制完全不同。

CORS：服务端显式授权的现代标准

CORS（Cross-Origin Resource Sharing）是W3C标准，依赖HTTP响应头控制浏览器是否允许跨域访问。关键在于服务端必须返回正确的响应头，如 Access-Control-Allow-Origin，否则浏览器直接拦截响应（即使请求已发出、服务器也成功返回数据）。

• 支持所有HTTP方法（GET/POST/PUT/DELETE等），不仅限于读取
• 可携带Cookie、认证头（需设置 credentials: true 且服务端明确允许）
• 预检请求（OPTIONS）自动触发：当请求含自定义头、非简单Content-Type或非简单方法时，浏览器先发OPTIONS探路
• 前端用fetch或XMLHttpRequest即可，无需特殊封装；例如：
  fetch('https://api.example.com/data', { credentials: 'include' })

JSONP：利用script标签绕过限制的旧方案

JSONP（JSON with Padding）不是标准协议，而是利用

• 只支持GET请求，无法发送POST或带body的数据
• 无错误捕获机制：script加载失败（404、超时、语法错误）只能靠timeout模拟，无法区分具体原因
• 完全依赖服务端配合返回函数调用格式，且前端需提前定义好回调函数名
• 存在XSS风险：执行远程脚本等于信任对方代码，不适用于不可信源

关键区别总结

根本差异在于通信机制和控制权归属：

• CORS由浏览器强制执行，服务端通过响应头声明权限；JSONP由开发者手动构造script标签，本质是“骗过”同源策略
• CORS可精确控制（哪些源、哪些方法、是否带凭证）；JSONP只有“允许执行”或“不允许”，粒度粗
• 现代项目应优先使用CORS；JSONP仅用于极老系统或无法修改服务端响应头的遗留场景
• 注意：CORS失败时控制台报错明显（如“Blocked by CORS policy”）；JSONP失败往往静默，需主动监听error事件或设超时