Cross-Origin Resource Policy（CORP）：资源隔离与嵌入策略

概述CORP 响应头声明资源的跨源访问策略：`same-origin`、`same-site` 或 `cross-origin`。与 COEP/COOP 协作可提高隔离与安全性，避免被未授权的站点嵌入。用法/示例Cross-Origin-Resource-Policy: same-origin add_header Cross-Origin-Resource-Policy "same-origin" always; 工程建议为敏感资源设置 `same-origin`；对需跨站使用的公开资源采用 `cross-origin` 并配合缓存策略。与 COEP/COOP 整体部署以满足跨源隔离（如 SharedArrayBuffer）。在上线前进行资源清单审计与第三方联调，避免误封与兼容问题。参考与验证MDN：CORP — https://developer.mozilla.org/docs/Web/HTTP/Headers/Cross-Origin-Resource-PolicyChrome Docs：Cross-origin isolation — https://developer.chrome.com/docs/privacy-security/cross-origin-isolation