# 概述 Cross-Origin-Resource-Policy(CORP)通过响应头限制资源的跨源加载,缓解热链与 XSSI(跨站脚本包含)以及推测侧信道攻击(如 Spectre)。可与 Fetch Metadata/CSP/COEP 联用构建资源隔离策略。 # 指令与行为 - `Cross-Origin-Resource-Policy: same-origin`:仅同源页面可加载资源。 - `Cross-Origin-Resource-Policy: same-site`:同站(eTLD+1)可加载,跨站拒绝。 - `Cross-Origin-Resource-Policy: cross-origin`:显式允许跨源,默认放行(不推荐)。 # 适用场景 - 对包含敏感数据的脚本、JSON、私有图片等,建议 `same-origin` 或 `same-site`,防止被外站通过 `