Cross-Origin Opener Policy（COOP）：窗口隔离与安全边界

---

title: Cross-Origin Opener Policy（COOP）：窗口隔离与安全边界

keywords:

• COOP
• Cross-Origin-Opener-Policy
• same-origin
• 共享内存
• 隔离

description: 通过 COOP 限制窗口关系以实现跨源隔离，提升安全与稳定性，并为 SharedArrayBuffer 等能力提供前置条件。

categories:

• 应用软件
• 游戏娱乐

---

概述

COOP 控制当前文档与打开/被打开窗口的关系。设为 same-origin 可与 COEP 协作实现跨源隔离，避免 window.opener 攻击与共享上下文问题。

用法/示例

Cross-Origin-Opener-Policy: same-origin

add_header Cross-Origin-Opener-Policy "same-origin" always;

与 COEP 搭配：

Cross-Origin-Embedder-Policy: require-corp

工程建议

• 对需跨源隔离的应用统一开启 COOP/COEP，并清点第三方资源的嵌入策略。
• 评估对窗口通信的影响，必要时改用 postMessage 与 BroadcastChannel。
• 在灰度阶段监控兼容性与错误，逐步推进到全站。

参考与验证

• MDN：COOP — https://developer.mozilla.org/docs/Web/HTTP/Headers/Cross-Origin-Opener-Policy
• Chrome Docs：Cross-origin isolation — https://developer.chrome.com/docs/privacy-security/cross-origin-isolation