背景与价值 CORP可限制跨站资源获取,降低数据泄露与滥用风险,特别适用于媒体与敏感资源。 统一规范 - 资源类型:静态媒体与敏感数据默认 `same-origin`。 - 站点策略:必要时使用 `same-site` 控制站点范围访问。 - 差异化:公共资源谨慎使用更宽策略。 核心实现 策略下发 ```ts type Res = { setHeader: (k: string, v: string) => void } function setCorp(res: Res, mode: 'same-origin' | 'same-site' | 'cross-origin' = 'same-origin') { res.setHeader('Cross-Origin-Resource-Policy', mode) } ``` 落地建议 - 对媒体与敏感资源统一下发 `same-origin`,按业务例外设置 `same-site`。 - 公共资源慎用 `cross-origin` 并结合其他策略共同治理。 验证清单 - 敏感资源是否按 `same-origin` 下发;站点内资源是否为 `same-site`。
投稿
微信公众账号
微信扫一扫加关注
评论 返回
顶部
发表评论 取消回复