概述
Cross-Origin-Resource-Policy(CORP)通过响应头限制资源的跨源加载,缓解热链与 XSSI(跨站脚本包含)以及推测侧信道攻击(如 Spectre)。可与 Fetch Metadata/CSP/COEP 联用构建资源隔离策略。
指令与行为
Cross-Origin-Resource-Policy: same-origin:仅同源页面可加载资源。Cross-Origin-Resource-Policy: same-site:同站(eTLD+1)可加载,跨站拒绝。Cross-Origin-Resource-Policy: cross-origin:显式允许跨源,默认放行(不推荐)。
适用场景
- 对包含敏感数据的脚本、JSON、私有图片等,建议
same-origin或same-site,防止被外站通过