Cross-Origin Resource Policy（CORP）：资源隔离与嵌入策略

49 阅读 0 评论 0 点赞

概述

CORP 响应头声明资源的跨源访问策略：same-origin、same-site 或 cross-origin。与 COEP/COOP 协作可提高隔离与安全性，避免被未授权的站点嵌入。

用法/示例


Cross-Origin-Resource-Policy: same-origin


add_header Cross-Origin-Resource-Policy "same-origin" always;

工程建议

为敏感资源设置 same-origin；对需跨站使用的公开资源采用 cross-origin 并配合缓存策略。
与 COEP/COOP 整体部署以满足跨源隔离（如 SharedArrayBuffer）。
在上线前进行资源清单审计与第三方联调，避免误封与兼容问题。

参考与验证

MDN：CORP — https://developer.mozilla.org/docs/Web/HTTP/Headers/Cross-Origin-Resource-Policy
Chrome Docs：Cross-origin isolation — https://developer.chrome.com/docs/privacy-security/cross-origin-isolation

点赞(0) 打赏

本文分类：网络安全
本文标签：无
浏览次数：49 次浏览
发布日期：2026-04-30 13:43:18
本文链接：https://www.ybb.press/security/1644.html

上一篇 > Cross-Origin Opener Policy（COOP）：窗口隔离与安全边界
下一篇 > Crypto.getRandomValues：安全随机数与密钥材料

评论列表共有 0 条评论

暂无评论

发表评论取消回复

微信公众账号

微信扫一扫加关注

发表
评论返回
顶部