---
title: Cross-Origin Resource Policy(CORP):资源隔离与嵌入策略
keywords:
- CORP
- Cross-Origin-Resource-Policy
- same-origin
- same-site
- cross-origin
description: 使用 CORP 通过响应头限制资源可被哪些站点嵌入或获取,配合 COEP/COOP 构建跨源隔离与安全边界。
categories:
- 应用软件
- 游戏娱乐
---
概述
CORP 响应头声明资源的跨源访问策略:same-origin、same-site 或 cross-origin。与 COEP/COOP 协作可提高隔离与安全性,避免被未授权的站点嵌入。
用法/示例
Cross-Origin-Resource-Policy: same-origin
add_header Cross-Origin-Resource-Policy "same-origin" always;
工程建议
- 为敏感资源设置
same-origin;对需跨站使用的公开资源采用cross-origin并配合缓存策略。 - 与 COEP/COOP 整体部署以满足跨源隔离(如 SharedArrayBuffer)。
- 在上线前进行资源清单审计与第三方联调,避免误封与兼容问题。
参考与验证
- MDN:CORP — https://developer.mozilla.org/docs/Web/HTTP/Headers/Cross-Origin-Resource-Policy
- Chrome Docs:Cross-origin isolation — https://developer.chrome.com/docs/privacy-security/cross-origin-isolation
发表评论 取消回复