概述

Cross-Origin Embedder Policy（COEP）通过要求嵌入的跨源资源具备合适的权限（如 CORP 或 CORS），提升站点隔离与安全。与 COOP 搭配可启用跨源隔离，从而使用 SharedArrayBuffer 等能力。

用法与示例

HTTP 响应头（站点启用 COEP 与 COOP）

Cross-Origin-Embedder-Policy: require-corp
Cross-Origin-Opener-Policy: same-origin

第三方资源适配（示意）

资源提供方返回 CORP 允许嵌入
Cross-Origin-Resource-Policy: cross-origin

或使用 CORS 允许跨源获取
Access-Control-Allow-Origin: https://example.com

工程建议

• 资源清单：审计页面嵌入的第三方脚本、字体、图片、视频等，确保具备 CORP 或 CORS 头。
• 出口与监控：逐步灰度启用 COEP，收集失败与阻止日志，定位不兼容资源。
• 与隔离能力：配合 COOP 达到跨源隔离，解锁 SharedArrayBuffer、性能更佳的并发。

参考与验证

• MDN COEP 文档：https://developer.mozilla.org/docs/Web/HTTP/Headers/Cross-Origin-Embedder-Policy
• Chrome 跨源隔离说明：https://developer.chrome.com/docs/web-platform/coop-coep/
• web.dev 相关指南：https://web.dev/articles/cross-origin-isolation