通常做法是将来自其他来源的脚本包含在脚本标记中,但当您在其他来源上使用fetch调用时,必须仔细配置所有内容,否则会出现CORS错误。
脚本标记是否以某种方式绕过了CORS?这是怎么回事?
同源策略防止JavaScript未经许可(通常由CORS提供(从其他源读取数据。
同源策略不阻止从其他源运行JavaScript(加载样式表、显示图像、iframe中的内容等(。
页面中的JavaScript一开始就不能(通常(通过这些方法从其他来源读取敏感数据。
这取决于,如果您试图加载Javascript模块(即<script type="module>(,那么如果src位于不同的源,则需要启用CORS的服务器。否则为否,即
<!-- Not a CORS request -->
<script src="https://example.com/script.js"></script>
<!-- CORS request -->
<script type="module" src="https://example.com/script.js"></script>
注意,您可以将crossrorigin属性添加到第一个属性中,以要求浏览器将其视为CORS请求。
您可以在此处找到更多信息:https://jakearchibald.com/2021/cors/