背景与价值CORP可限制跨站资源获取,降低数据泄露与滥用风险,特别适用于媒体与敏感资源。统一规范资源类型:静态媒体与敏感数据默认 `same-origin`。站点策略:必要时使用 `same-site` 控制站点范围访问。差异化:公共资源谨慎使用更宽策略。核心实现策略下发type Res = { setHeader: (k: string, v: string) => void } function setCorp(res: Res, mode: 'same-origin' | 'same-site' | 'cross-origin' = 'same-origin') { res.setHeader('Cross-Origin-Resource-Policy', mode) } 落地建议对媒体与敏感资源统一下发 `same-origin`,按业务例外设置 `same-site`。公共资源慎用 `cross-origin` 并结合其他策略共同治理。验证清单敏感资源是否按 `same-origin` 下发;站点内资源是否为 `same-site`。
投稿
微信公众账号
微信扫一扫加关注
评论 返回
顶部
发表评论 取消回复