Referrer-Policy治理与信息泄露防护(no-referrer/strict-origin-when-cross-origin)最佳实践
通过统一的Referrer-Policy策略与路径差异化治理,降低跨站跳转中的敏感信息泄露风险并保持必要可用性。
poli
Cross-Origin-Resource-Policy(CORP)治理与媒体保护最佳实践
通过CORP响应头在资源层限制跨站获取,结合站点级策略保护敏感媒体与数据资源。
Content-Security-Policy报告与strict-dynamic治理
通过 nonce+strict-dynamic 的脚本治理与报告管道(Report-To/Report-Only),降低 XSS 风险并建立可观测的策略演进。
"CORP 资源策略:Cross-Origin-Resource-Policy 的防护与取舍"
"介绍 CORP 响应头的工作原理与适用场景,说明其对跨源资源加载与 XSSI/推测侧信道的防护作用,并给出配置建议与注意事项。"
