CORP跨源资源策略与嵌入治理

# CORP跨源资源策略与嵌入治理 ## 概览 - CORP 限制资源被跨源嵌入；与 COEP 要求跨源资源具备 CORS 或 CORP；共同实现跨源隔离。 ## 技术参数（已验证） - 语法：`Cross-Origin-Resource-Policy: same-origin|same-site|cross-origin`；按资源暴露范围选择。 - 协同：与 COEP `require-corp` 协作；为第三方资源设置正确头或 CORS。 - 影响：旧资源在严格策略下被阻断；需提供回退与策略豁免。 - 部署与测试：在发布前验证资源头与加载；记录违规并修复。 - 观测：在看板呈现违规与性能影响；持续优化。 ## 实战清单 - 为敏感与默认资源设置 `same-origin`；对跨站暴露资源使用 `cross-origin`。 - 与第三方供应商协同设置头；在隔离架构中统一治理。 - 文档化策略与例外；在变更中验证与回滚。