JavaScript跨域请求_CORS与JSONP对比

CORS是现代跨域主流方案，通过服务器设置响应头实现，支持所有HTTP方法且更安全；JSONP利用script标签特性绕过同源策略，仅支持GET请求，兼容老浏览器但存在XSS风险。

跨域请求是前端开发中常见的问题，当页面所在的域名与请求的接口域名不一致时，浏览器出于安全考虑会阻止请求，这就是同源策略的限制。为解决这个问题，CORS 和 JSONP 是两种常用方案。虽然都能实现跨域，但原理和适用场景有很大不同。

CORS：现代主流的跨域解决方案

CORS（Cross-Origin Resource Sharing）是 W3C 标准，通过在服务器端设置响应头来允许浏览器进行跨域请求。

使用 CORS 时，浏览器会在发送请求前自动发起一个 OPTIONS 预检请求，确认服务器是否接受该跨域请求。服务器需返回如 Access-Control-Allow-Origin、Access-Control-Allow-Methods 等响应头。

• 支持所有 HTTP 方法（GET、POST、PUT、DELETE 等）
• 可以携带 Cookie 和认证信息（需设置 withCredentials）
• 请求和响应的数据格式自由，通常使用 JSON
• 需要服务器配合配置响应头
• 兼容现代浏览器，IE10+ 支持较好

JSONP：利用 script 标签绕过同源策略

JSONP（JSON with Padding）是一种利用 <script> 标签不受同源策略限制的特性来实现跨域的方法。它通过动态创建 script 标签，请求一个返回 JavaScript 函数调用的接口。

立即学习“Java免费学习笔记（深入）”；

创客贴设计

创客贴设计，一款智能在线设计工具，设计不求人，AI助你零基础完成专业设计！

150

查看详情

例如，请求的 URL 可能是：https://api.example.com/data?callback=handleData，服务器返回：handleData({"name": "John"})，从而执行回调函数。

• 只支持 GET 请求，无法发送 POST 或其他方法
• 不能携带自定义请求头或 Cookie（除非 domain 允许）
• 无需服务器开启 CORS 头，但需支持 callback 参数返回函数调用
• 兼容性极好，支持老版本浏览器（包括 IE6）
• 存在一定的安全风险，如 XSS 攻击，需谨慎处理回调内容

对比总结：选型建议

两者本质不同：CORS 是标准的 HTTP 跨域机制，而 JSONP 是一种“hack”式技巧。

• 如果可以控制服务器端，优先使用 CORS，更安全、功能完整
• 若需兼容非常旧的浏览器且只能发 GET 请求，可考虑 JSONP
• 现代项目中，JSONP 已逐渐被淘汰，推荐使用 CORS 配合代理（如 Nginx 或开发环境 proxy）解决跨域
• 安全性上，CORS 更可控，可通过 Origin 精确限制来源；JSONP 容易被注入恶意脚本

基本上就这些。CORS 是当前的标准做法，JSONP 仅作为历史兼容手段存在。理解它们的差异有助于在实际项目中做出合理选择。

以上就是JavaScript跨域请求_CORS与JSONP对比的详细内容，更多请关注php中文网其它相关文章！