COEP：Cross-Origin Embedder Policy 的资源隔离与部署要点

概述 Cross-Origin Embedder Policy（COEP）通过要求嵌入的跨源资源具备合适的权限（如 CORP 或 CORS），提升站点隔离与安全。与 COOP 搭配可启用跨源隔离，从而使用 `SharedArrayBuffer` 等能力。 用法与示例 HTTP 响应头（站点启用 COEP 与 COOP） ``` Cross-Origin-Embedder-Policy: require-corp Cross-Origin-Opener-Policy: same-origin ``` 第三方资源适配（示意） ``` # 资源提供方返回 CORP 允许嵌入 Cross-Origin-Resource-Policy: cross-origin # 或使用 CORS 允许跨源获取 Access-Control-Allow-Origin: https://example.com ``` 工程建议 - 资源清单：审计页面嵌入的第三方脚本、字体、图片、视频等，确保具备 CORP 或 CORS 头。 - 出口与监控：逐步灰度启用 COEP，收集失败与阻止日志，定位不兼容资源。 - 与隔离能力：配合 COOP 达到跨源隔离，解锁 `SharedArrayBuffer`、性能更佳的并发。 参考与验证 - MDN COEP 文档：https://developer.mozilla.org/docs/Web/HTTP/Headers/Cross-Origin-Embedder-Policy - Chrome 跨源隔离说明：https://developer.chrome.com/docs/web-platform/coop-coep/ - web.dev 相关指南：https://web.dev/articles/cross-origin-isolation