简述Jsonp跨域与CORS跨域的区别?

Jsonp跨域和CORS跨域都是为了解决浏览器中的跨域问题而存在的机制，但它们之间存在几个显著的区别：

1. 实现原理：

• Jsonp跨域：Jsonp（JSON with Padding）是JSON的一种“使用模式”。它的实现原理主要依赖于<script>标签的src属性，允许网页从其他域名（网站）获取资料，即跨域读取数据。浏览器端通过<script>标签的src属性请求服务器上的数据，同时服务器返回一个函数的调用。由于<script>标签不受同源策略的限制，Jsonp利用这一点实现跨域请求。
• CORS跨域：CORS（Cross-Origin Resource Sharing）是一个W3C标准，全称是“跨域资源共享”。它允许浏览器向跨源服务器发出XMLHttpRequest请求，从而克服了AJAX只能同源使用的限制。当浏览器发现请求不符合同源策略时，会添加额外的请求头信息（如Origin），而服务器则需要相应地处理并返回正确的响应头信息（如Access-Control-Allow-Origin），以允许跨域请求。

2. 请求类型与兼容性：

• Jsonp跨域：Jsonp的主要特点是简单适用且兼容性好，尤其兼容低版本的IE浏览器。然而，它只支持GET请求，不支持POST请求。
• CORS跨域：CORS支持所有的浏览器请求类型，包括GET和POST等，且承载的请求数据量更大。不过，CORS对低版本IE浏览器的支持不如Jsonp。

3. 安全性与开放性：

• Jsonp跨域：由于Jsonp依赖于<script>标签，它可能会受到一些安全问题的影响，比如注入攻击。此外，由于Jsonp只返回纯文本，不能返回JSON对象，因此它可能需要额外的解析步骤。
• CORS跨域：CORS提供了更强大的安全性控制，通过请求头和响应头的设置，可以精确地控制哪些来源可以访问资源。同时，CORS的开放性更高，服务端只需要将处理后的数据直接返回，不需要再进行特殊处理。

总结来说，Jsonp跨域和CORS跨域都是解决浏览器跨域问题的有效手段，但它们各自有着不同的实现原理、请求支持、兼容性以及安全性考虑。在实际应用中，应根据具体需求和环境选择合适的方法。