概述

Cross-Origin-Opener-Policy（COOP）通过隔离顶层上下文，防止跨源窗口共享 window.opener 等对象，提升安全与稳定性，并作为跨源隔离（与 COEP 联用）的基础，解锁 SharedArrayBuffer 等能力。

模式与行为

• Cross-Origin-Opener-Policy: same-origin：强隔离，跨源导航将打开新 Browsing Context Group，不共享 window.opener；避免跨源在同一进程内共享降低风险［参考1,2］。
• 其他模式如 unsafe-none（默认）与 same-origin-allow-popups（允许同源弹窗）按需选择；生产推荐 same-origin［参考1,2］。

与 COEP 的协作

• 跨源隔离需同时启用 COOP: same-origin 与 COEP；具体 COEP: require-corp/credentialless 选择见前文比较；启用后可使用 SharedArrayBuffer 与 WASM 线程［参考2］。

参考与验证

• ［参考1］web.dev：COOP 响应头与隔离目标、window.opener 安全说明：https://web.dev/articles/coop-coep
• ［参考2］MDN：Cross-Origin-Opener-Policy 响应头语法与行为说明：https://developer.mozilla.org/en-US/docs/Web/HTTP/Reference/Headers/Cross-Origin-Opener-Policy

关键词校验

关键词与 COOP 隔离与 opener 安全一致。