H5-------------- script 标签的 crossorigin 属性有何作用

先来看下使用：

<script src="https://code.jquery.com/jquery-3.2.1.slim.min.js"

    integrity="shdsfaafa/342/42342/werfadf/GpGFF93hXpG5KkN"

    crossorigin="anonymo
c4cb
us"></script>

看起来比以前的写法复杂好多-----------多了一个 integrity 属性，用来验证文件完整性的；另外还有一个 crossorigin 属性

先来解释下crossorigin 具体的意义：
 

目前比较一致的说法是，引入跨域的脚本（比如用了 apis.google.com 上的库文件），如果这个脚本有错误，因为浏览器的限制（根本原因是协议的规定），是拿不到错误信息的。当本地尝试使用 

window.onerror

 去记录脚本的错误时，跨域脚本的错误只会返回 

Script
error

。



但 HTML5 新的规定，是可以允许本地获取到跨域脚本的错误信息，但有两个条件：一是跨域脚本的服务器必须通过 

Access-Controll-Allow-Origin

 头信息允许当前域名可以获取错误信息，二是当前域名的 

script

 标签也必须指明 

src

 属性指定的地址是支持跨域的地址，也就是
crossorigin 属性。

这其中浏览器或者说协议----crossorigin
属性涉及到网络安全问题；加入允许本地获取到跨域脚本的错误信息那么----我们通过报错信息的不一致，可能可以推断出当前访问的用户的使用痕迹；进而『精准』推送相关的钓鱼网站给他。

crossorigin属性:

anonymous

：如果使用这个值的话就会在请求中的

header

中的带上

Origin

属性，但请求不会带上

cookie

和其他的一些认证信息。

use-credentials

：这个就同时会在跨域请求中带上

cookie

和其他的一些认证信息。
在使用这两个值时都需要server端在response的header中带上

Access-Control-Allow-Credentials

属性。
可以通过server的配置文件来开启这个属性：server开启Access-Control-Allow-Credentials

另外除了 

script

，所有能引入跨域资源的标签包括 

link

 和 

img

 之类，都有一样的属性。

safari浏览器的bug

在safari浏览器中发现一个bug，即用户选择本地的图片文件时，如果使用了

crossorigin

话也会报错，解决办法是判断图片的地址是否是以

http

开头的