"CORP：Cross-Origin Resource Policy 的嵌入控制与隔离"

---

title: "CORP：Cross-Origin Resource Policy 的嵌入控制与隔离"

keywords:

• CORP
• Cross-Origin-Resource-Policy
• same-origin
• same-site
• cross-origin

description: "说明 CORP 响应头的三种策略（same-origin/same-site/cross-origin），如何控制跨源资源嵌入与协作 COEP，实现更强的隔离与安全治理，并提供示例与验证。"

categories:

• 应用软件
• 游戏娱乐

---

概述

Cross-Origin-Resource-Policy（CORP）用于限制资源被不同来源嵌入或读取的能力。结合 COEP 的 require-corp，站点可确保被嵌入的第三方资源具备允许头或 CORS，从而启用跨源隔离与更高级能力（如 SharedArrayBuffer）。

用法与示例

响应头策略示例

# 仅同源页面可嵌入该资源
Cross-Origin-Resource-Policy: same-origin

# 同站（同站点的不同子域）也可嵌入
Cross-Origin-Resource-Policy: same-site

# 允许跨源嵌入
Cross-Origin-Resource-Policy: cross-origin

工程建议

• 资源清单：识别站点需要嵌入的字体/图片/媒体/脚本，选择适当的 CORP 策略并与 COEP 协作。
• 第三方适配：要求第三方资源提供符合的 CORP 或 CORS 响应头；在不满足时采取代理与缓存策略。
• 监控与灰度：逐步启用并记录被拒绝的资源与影响，修复后收紧策略至 same-origin/same-site。

参考与验证

• MDN CORP 文档：https://developer.mozilla.org/docs/Web/HTTP/Headers/Cross-Origin-Resource-Policy
• Chrome 跨源隔离说明：https://developer.chrome.com/docs/web-platform/coop-coep/
• web.dev 跨源隔离指南：https://web.dev/articles/cross-origin-isolation