【Chrome web.dev Live 2020總結】第3天第9集：防止信息泄漏

1 簡介

COOP:Cross-Origin-Opener-Policy（跨域開放者策略）

COEP:Cross-Origin-Embedder-Policy（跨域嵌入策略）

COOP和COEP是HTTP請求頭。可以使網頁進入一種特殊狀態————“跨域隔離”。在“跨域隔離”狀態下，發出請求的站點被認為處于不太危險的狀態，并且可以解鎖一系列強大的功能，例如：

2 背景

Web的可組合性可以使開發者從不同來源來添加資源從而增強網站的功能性。

但是它的跨域性質同時也增加了網站用戶信息泄露的風險，惡意方可以利用這種情況泄露用戶的信息。同源策略解決了這類的風險問題，它可以限制不同來源的資源的文檔和網頁之間的交互。

直到Spectre（幽靈）漏洞的出現，Spectre是CPU中發現的漏洞，該漏洞使惡意網站能夠跨越源邊界讀取內存和內容。

這個漏洞可以通過一些特性來利用，這些特性可以充當高精度的計時器。這會使一個瀏覽上下文組中共享的跨域資源處于危險之中，即使他們收到同源策略的保護，幽靈攻擊也可以繞開邊界來進行攻擊。

3 解決方案

cross-origin isloated是通過將資源隔離到單獨的瀏覽上下文組中，所有的跨域資源擁有資源的服務器明確審核。如果擁有資源的服務器未接受審查，則數據永遠不會進入攻擊者的瀏覽器上下文，因此他們也不會受到Specture攻擊的影響，這個就被稱為跨域隔離狀態，也是COOP和COEP的核心。

在跨域隔離的狀態下，發出的請求的站點被認為不太危險，并且可以解鎖強大的功能，例如SharedArrayBuffer、performance.measureMemory和JS Self-Profiling API。

4 如何啟用跨域隔離

設置“Cross-Original-Opener-Policy”為same-origin

確保跨域資源的使用：跨域(無法控制的資源，但是支持跨域)或者跨域資源共享(獲得子域資源)

設置“Cross-Origin-Embedder-Policy-Report-Only”(推薦)為require-corp

頁面加載COOP和COEP后，此時處于“跨域隔離”狀態。

web前端 視頻直播

版權聲明：本文內容由網絡用戶投稿，版權歸原作者所有，本站不擁有其著作權，亦不承擔相應法律責任。如果您發現本站中有涉嫌抄襲或描述失實的內容，請聯系我們jiasou666@gmail.com 處理，核實后本網站將在24小時內刪除侵權內容。

版權聲明：本文內容由網絡用戶投稿，版權歸原作者所有，本站不擁有其著作權，亦不承擔相應法律責任。如果您發現本站中有涉嫌抄襲或描述失實的內容，請聯系我們jiasou666@gmail.com 處理，核實后本網站將在24小時內刪除侵權內容。