模块加载器如何处理 cross-origin token 传递

模块加载器本身并不处理或管理跨域 Token，真正的凭证传递完全由浏览器自动完成——当配置 `crossorigin="use-credentials"` 时，浏览器会在跨域模块请求中自动携带 Cookie 或 HTTP 认证凭据，但前提是服务端必须严格返回匹配的 `Access-Control-Allow-Origin`（不可为 `*`）和 `Access-Control-Allow-Credentials: true`，缺一即导致静默失败；而 JWT、API Key 等自定义 Token 与该机制无关，无法通过模块加载器注入，需在应用层用 fetch 等方式显式传递——理解这一边界，才能避开 CORS 配置陷阱，让跨域模块加载既安全又可靠。

模块加载器（如 Sea.js、Webpack 的动态 import()、或原生 ES 模块加载器）在处理 crossorigin="use-credentials" 时，本身不生成或管理 Token，它只负责按规范构造符合 CORS 凭据模式的请求。所谓“Token 传递”，本质是浏览器自动携带用户凭证（如 Cookie、HTTP 认证凭据），而非模块加载器主动注入或转发某个 Token 字符串。

浏览器才是凭证传递的执行者

当模块加载器触发一个跨域脚本加载（例如通过 import() 加载 CDN 上的 chunk），并配置了 crossOriginLoading: 'use-credentials'（Webpack）或显式写入