背景与价值同源策略是Web安全基础。结合COOP/COEP/CORP可提升跨站隔离与资源保护,降低XS-Leaks与数据泄露风险。统一规范同源与同站:区分 `SO` 与 `SS` 的访问界限。隔离组合:启用 `COOP: same-origin` 与 `COEP: require-corp`,资源层使用 `CORP`。策略联动:与Referrer-Policy与私有缓存协同治理。核心实现头设置与判定type Res = { setHeader: (k: string, v: string) => void } function setIsolation(res: Res, corpMode: 'same-origin'|'same-site'='same-origin') { res.setHeader('Cross-Origin-Opener-Policy', 'same-origin') res.setHeader('Cross-Origin-Embedder-Policy', 'require-corp') res.setHeader('Cross-Origin-Resource-Policy', corpMode) } 落地建议全站启用跨站隔离组合并按资源敏感度设置CORP模式;敏感资源使用 `same-origin`。与Referrer-Policy与私有缓存协同,减少跨站信息泄露与侧信道风险。验证清单是否统一启用 `COOP/COEP/CORP` 并按资源选择模式;策略是否与同源/同站治理一致。
投稿
微信公众账号
微信扫一扫加关注
评论 返回
顶部
发表评论 取消回复