概述`Cross-Origin-Opener-Policy`(COOP)通过隔离顶层上下文,防止跨源窗口共享 `window.opener` 等对象,提升安全与稳定性,并作为跨源隔离(与 COEP 联用)的基础,解锁 SharedArrayBuffer 等能力。模式与行为`Cross-Origin-Opener-Policy: same-origin`:强隔离,跨源导航将打开新 Browsing Context Group,不共享 `window.opener`;避免跨源在同一进程内共享降低风险[参考1,2]。其他模式如 `unsafe-none`(默认)与 `same-origin-allow-popups`(允许同源弹窗)按需选择;生产推荐 `same-origin`[参考1,2]。与 COEP 的协作跨源隔离需同时启用 `COOP: same-origin` 与 `COEP`;具体 `COEP: require-corp/credentialless` 选择见前文比较;启用后可使用 SharedArrayBuffer 与 WASM 线程[参考2]。参考与验证[参考1]web.dev:COOP 响应头与隔离目标、`window.opener` 安全说明:https://web.dev/articles/coop-coep[参考2]MDN:`Cross-Origin-Opener-Policy` 响应头语法与行为说明:https://developer.mozilla.org/en-US/docs/Web/HTTP/Reference/Headers/Cross-Origin-Opener-Policy关键词校验关键词与 COOP 隔离与 opener 安全一致。
投稿
微信公众账号
微信扫一扫加关注
评论 返回
顶部
发表评论 取消回复