正文要启用 `SharedArrayBuffer` 等高权限能力,需要将站点置于跨源隔离状态:设置 `Cross-Origin-Opener-Policy`(COOP)与 `Cross-Origin-Embedder-Policy`(COEP)。同时,针对自有资源设置 `Cross-Origin-Resource-Policy`(CORP),控制跨源嵌入策略,降低混合上下文风险。一、Next.js 中间件设置隔离头import { NextResponse } from 'next/server' export function middleware() { const res = NextResponse.next() res.headers.set('Cross-Origin-Opener-Policy', 'same-origin') res.headers.set('Cross-Origin-Embedder-Policy', 'require-corp') return res } 二、为自有静态资源设置 CORP对于站点自身的静态资源(如 JS/CSS/字体/图片),建议设置:export const runtime = 'edge' export async function GET() { const body = new TextEncoder().encode('/* app.css */') return new Response(body, { headers: { 'Content-Type': 'text/css; charset=utf-8', 'Cross-Origin-Resource-Policy': 'same-origin', 'Cache-Control': 'public, max-age=31536000, immutable' } }) } 三、外部资源与兼容策略第三方资源如需跨源嵌入,应由第三方服务器返回 `Cross-Origin-Resource-Policy: cross-origin` 或通过 `COEP: credentialless`(实验)降低凭据要求。对无法满足 CORP 的第三方资源,应改用 `fetch`/代理后以同源方式投递,或放弃嵌入。四、治理要点隔离生效:COOP+COEP 生效后页面与跨源上下文隔离;与 `window.opener` 交互受限,需评估业务影响。回退策略:为兼容旧资源逐步迁移至同源或可跨源嵌入的供应商;阶段性灰度上线并观测错误率。缓存:静态资源结合 `immutable` 长缓存;隔离头设置在中间件层,避免遗漏。
投稿
微信公众账号
微信扫一扫加关注
评论 返回
顶部
发表评论 取消回复