要安全接入跨源资源,关键在于启用跨源隔离机制,即通过Nginx配置COEP(require-corp)、COOP(same-origin)和CORP(same-site或cross-origin)三层策略协同生效,配合严谨的CORS与预检响应,方可启用SharedArrayBuffer等敏感API并防范侧信道攻击。
要安全接入跨源资源,不能只靠 Access-Control-Allow-Origin 这一类基础 CORS 头——它解决的是“能不能访问”,而非“会不会被滥用”。真正防范高危数据泄漏,关键在于启用现代浏览器强制的 跨源隔离(Cross-Origin Isolation) 机制,配合 Nginx 的三层策略协同生效。
COEP 阻止页面加载未明确授权的跨源资源(如脚本、iframe、图片),避免敏感信息通过侧信道(如 Spectre 类攻击)被窃取。Nginx 必须在响应头中显式声明:
Cross-Origin-Embedder-Policy: require-corp —— 要求所有嵌入资源必须携带 Cross-Origin-Resource-Policy: cross-origin 或通过 CORP header 显式允许credentialless 模式,它虽兼容性好但无法启用 SharedArrayBuffer 等高安全能力COOP 防止当前页面与跨源弹窗、iframe 共享 JavaScript 执行环境,切断潜在的跨源通信链路:
Cross-Origin-Opener-Policy: same-origin —— 最严格模式,禁止跨源 opener 关系;若需有限互通,可用 same-origin-allow-popups,但仅限已知可信子域server 或 http 块),且不可被子资源覆盖self.crossOriginIsolated 返回 true,可启用 SharedArrayBuffer、performance.measureMemory() 等敏感 APICORP 是资源端的守门人,决定该资源是否允许被其他源嵌入或获取:
Cross-Origin-Resource-Policy: same-site(默认最安全)或 cross-origin(仅当确需被外部嵌入时)same-origin,防止被恶意网站通过 <img src="/api/data"> 等方式触发请求并窃取响应体即使启用了 COEP/COOP/CORP,传统 CORS 仍需严谨配置,否则合法跨源调用会失败:
Access-Control-Allow-Origin 不能为 *,必须动态匹配 $http_origin,且必须设置 Access-Control-Allow-Credentials: true
Timing-Allow-Origin 可选但推荐:设为 * 或指定源,允许跨源性能监控(如 Resource Timing API),便于排查隔离导致的加载延迟