概述Cross-Origin-Resource-Policy(CORP)通过响应头限制资源的跨源加载,缓解热链与 XSSI(跨站脚本包含)以及推测侧信道攻击(如 Spectre)。可与 Fetch Metadata/CSP/COEP 联用构建资源隔离策略。指令与行为`Cross-Origin-Resource-Policy: same-origin`:仅同源页面可加载资源。`Cross-Origin-Resource-Policy: same-site`:同站(eTLD+1)可加载,跨站拒绝。`Cross-Origin-Resource-Policy: cross-origin`:显式允许跨源,默认放行(不推荐)。适用场景对包含敏感数据的脚本、JSON、私有图片等,建议 `same-origin` 或 `same-site`,防止被外站通过 `<script>`/`<img>` 等元素读取与侧漏[参考1,2,3]。注意事项CORP 为事后(客户端)防护,仍需服务端鉴权与 CORS、CSRF Token 等基础防护;建议与 `Sec-Fetch-*`、`SameSite` Cookie 联合使用[参考1,3]。参考与验证[参考1]MDN:Cross-Origin Resource Policy 指南与目标说明:https://developer.mozilla.org/en-US/docs/Web/HTTP/Guides/Cross-Origin_Resource_Policy[参考2]技术文章:CORP 防热链与 XSSI 的示例说明:https://andrewlock.net/understanding-security-headers-part-2-cross-origin-resource-policy-preventing-hotlinking/[参考3]安全头指南:CORP 行为与与 CSP/COEP 的配合说明:https://httpsecurityheaders.com/Cross-Origin-Resource-Policy-CORP关键词校验关键词与 CORP 防护场景一致。
投稿
微信公众账号
微信扫一扫加关注
评论 返回
顶部
发表评论 取消回复