---

title: "CORP 资源策略：Cross-Origin-Resource-Policy 的防护与取舍"

keywords:

• CORP
• Cross-Origin-Resource-Policy
• XSSI
• 谣言通道
• 资源隔离
• 热链

description: "介绍 CORP 响应头的工作原理与适用场景，说明其对跨源资源加载与 XSSI/推测侧信道的防护作用，并给出配置建议与注意事项。"

categories:

• 文章资讯
• 技术教程

---

概述

Cross-Origin-Resource-Policy（CORP）通过响应头限制资源的跨源加载，缓解热链与 XSSI（跨站脚本包含）以及推测侧信道攻击（如 Spectre）。可与 Fetch Metadata/CSP/COEP 联用构建资源隔离策略。

指令与行为

• Cross-Origin-Resource-Policy: same-origin：仅同源页面可加载资源。
• Cross-Origin-Resource-Policy: same-site：同站（eTLD+1）可加载，跨站拒绝。
• Cross-Origin-Resource-Policy: cross-origin：显式允许跨源，默认放行（不推荐）。

适用场景

• 对包含敏感数据的脚本、JSON、私有图片等，建议 same-origin 或 same-site，防止被外站通过 <script>/<img> 等元素读取与侧漏［参考1,2,3］。

注意事项

• CORP 为事后（客户端）防护，仍需服务端鉴权与 CORS、CSRF Token 等基础防护；建议与 Sec-Fetch-*、SameSite Cookie 联合使用［参考1,3］。

参考与验证

• ［参考1］MDN：Cross-Origin Resource Policy 指南与目标说明：https://developer.mozilla.org/en-US/docs/Web/HTTP/Guides/Cross-Origin_Resource_Policy
• ［参考2］技术文章：CORP 防热链与 XSSI 的示例说明：https://andrewlock.net/understanding-security-headers-part-2-cross-origin-resource-policy-preventing-hotlinking/
• ［参考3］安全头指南：CORP 行为与与 CSP/COEP 的配合说明：https://httpsecurityheaders.com/Cross-Origin-Resource-Policy-CORP

关键词校验

关键词与 CORP 防护场景一致。