Cross-Origin-Resource-Policy（CORP）治理与媒体保护最佳实践

---

title: Cross-Origin-Resource-Policy（CORP）治理与媒体保护最佳实践

keywords:

• CORP
• same-origin
• same-site
• 媒体保护
• 跨域资源

description: 通过CORP响应头在资源层限制跨站获取，结合站点级策略保护敏感媒体与数据资源。

categories:

• 文章资讯
• 编程技术

---

背景与价值

CORP可限制跨站资源获取，降低数据泄露与滥用风险，特别适用于媒体与敏感资源。

统一规范

• 资源类型：静态媒体与敏感数据默认 same-origin。
• 站点策略：必要时使用 same-site 控制站点范围访问。
• 差异化：公共资源谨慎使用更宽策略。

核心实现

策略下发

type Res = { setHeader: (k: string, v: string) => void }

function setCorp(res: Res, mode: 'same-origin' | 'same-site' | 'cross-origin' = 'same-origin') {
  res.setHeader('Cross-Origin-Resource-Policy', mode)
}

落地建议

• 对媒体与敏感资源统一下发 same-origin，按业务例外设置 same-site。
• 公共资源慎用 cross-origin 并结合其他策略共同治理。

验证清单

• 敏感资源是否按 same-origin 下发；站点内资源是否为 same-site。