Cross-Origin Resource Policy（CORP）：资源隔离与嵌入策略

7 阅读 0 评论 0 点赞

## 概述 CORP 响应头声明资源的跨源访问策略：`same-origin`、`same-site` 或 `cross-origin`。与 COEP/COOP 协作可提高隔离与安全性，避免被未授权的站点嵌入。 ## 用法/示例 ```http Cross-Origin-Resource-Policy: same-origin ``` ```nginx add_header Cross-Origin-Resource-Policy "same-origin" always; ``` ## 工程建议 - 为敏感资源设置 `same-origin`；对需跨站使用的公开资源采用 `cross-origin` 并配合缓存策略。 - 与 COEP/COOP 整体部署以满足跨源隔离（如 SharedArrayBuffer）。 - 在上线前进行资源清单审计与第三方联调，避免误封与兼容问题。 ## 参考与验证 - MDN：CORP — https://developer.mozilla.org/docs/Web/HTTP/Headers/Cross-Origin-Resource-Policy - Chrome Docs：Cross-origin isolation — https://developer.chrome.com/docs/privacy-security/cross-origin-isolation

点赞(0) 打赏

本文分类：网络安全
本文标签：无
浏览次数：7 次浏览
发布日期：2026-04-30 13:43:18
本文链接：https://www.ybb.press/security/1644.html

上一篇 > Cross-Origin Opener Policy（COOP）：窗口隔离与安全边界
下一篇 > Crypto.getRandomValues：安全随机数与密钥材料

Cross-Origin Resource Policy（CORP）：资源隔离与嵌入策略

评论列表共有 0 条评论

发表评论取消回复

Cross-Origin Resource Policy（CORP）：资源隔离与嵌入策略

Popover API 实战：锚定弹出层的无障碍与性能

Popover API 原生弹层：无框架交互与可访问性

Payment Request API 实战：支付流程与兼容回退

OpenTelemetry 全栈可观测性落地指南（2025）

评论列表 共有 0 条评论

发表评论 取消回复

评论列表共有 0 条评论

发表评论取消回复