首先得澄清一个常见的误区：通过<script>标签加载外部脚本的请求，并不属于CORS规范中需要发送Origin头或触发预检的请求类型，这是浏览器同源策略里特意留的“例外通道”，专门用来支持加载CDN脚本、第三方资源这类场景。

核心原因区分 #

浏览器把跨域请求分成了两类，处理逻辑完全不同：

• 主动发起的跨域请求：比如用XMLHttpRequest、Fetch API、WebSocket发起的请求，这类请求会严格遵循CORS规则，自动添加Origin头，非简单请求还会先发预检请求，校验服务器是否允许跨域访问。
• 嵌入资源请求：像<script>、<img>、<link>、<iframe>这类标签加载的资源，浏览器允许跨域加载，但不会添加Origin头，也不会触发预检。因为这类资源是直接被浏览器执行/渲染的，不会把响应数据暴露给页面的JavaScript代码，风险相对更低，所以不需要走CORS的校验流程。

如果你需要让脚本请求触发CORS规则 #

如果你的场景确实需要服务器校验请求的Origin（比如要限制只有localhost:3000能加载脚本），或者需要传递cookie等凭证，那不能用普通的<script>标签加载，而是可以用Fetch API先获取脚本内容，再动态插入到页面中：

// 用Fetch发起跨域请求，会自动带上Origin头
fetch('http://localhost:3005/script.js', {
  credentials: 'include' // 如果需要传递cookie等凭证，必须加上这个
})
.then(response => {
  // 先确认服务器返回了允许跨域的响应头
  if (!response.ok) throw new Error('请求失败');
  return response.text();
})
.then(scriptContent => {
  // 创建script标签插入页面执行脚本
  const scriptEl = document.createElement('script');
  scriptEl.textContent = scriptContent;
  document.body.appendChild(scriptEl);
})
.catch(err => console.error('脚本加载失败:', err));

这种情况下，你的localhost:3005服务器就需要配置CORS响应头：

• 允许特定Origin：Access-Control-Allow-Origin: http://localhost:3000
• 如果需要凭证：Access-Control-Allow-Credentials: true

额外提醒 #

如果你的script.js内部包含了AJAX/Fetch请求，那这些请求本身会遵循CORS规则，自动添加Origin头并触发必要的预检，而不是脚本加载的请求。

内容的提问来源于stack exchange，提问作者AIon