"CORP：Cross-Origin Resource Policy 的嵌入控制与隔离"

概述Cross-Origin-Resource-Policy（CORP）用于限制资源被不同来源嵌入或读取的能力。结合 COEP 的 `require-corp`，站点可确保被嵌入的第三方资源具备允许头或 CORS，从而启用跨源隔离与更高级能力（如 SharedArrayBuffer）。用法与示例响应头策略示例# 仅同源页面可嵌入该资源 Cross-Origin-Resource-Policy: same-origin # 同站（同站点的不同子域）也可嵌入 Cross-Origin-Resource-Policy: same-site # 允许跨源嵌入 Cross-Origin-Resource-Policy: cross-origin 工程建议资源清单：识别站点需要嵌入的字体/图片/媒体/脚本，选择适当的 CORP 策略并与 COEP 协作。第三方适配：要求第三方资源提供符合的 CORP 或 CORS 响应头；在不满足时采取代理与缓存策略。监控与灰度：逐步启用并记录被拒绝的资源与影响，修复后收紧策略至 `same-origin/same-site`。参考与验证MDN CORP 文档：https://developer.mozilla.org/docs/Web/HTTP/Headers/Cross-Origin-Resource-PolicyChrome 跨源隔离说明：https://developer.chrome.com/docs/web-platform/coop-coep/web.dev 跨源隔离指南：https://web.dev/articles/cross-origin-isolation