"Cross-Origin-Embedder-Policy": "require-corp", 这个是什么意思？有哪些参数

Cross-Origin-Embedder-Policy (COEP) 和 Cross-Origin-Opener-Policy (COOP) 是一对用于增强网站安全的 HTTP 响应头。Cross-Origin-Embedder-Policy 通过限制哪些页面可以嵌入当前页面来帮助防止跨站点嵌入（cross-site embedding）攻击，而 Cross-Origin-Opener-Policy 控制来自不同源的页面是否可以相互通信。

参数：

1. none

   • 不启用 COEP 策略。页面可以从任何来源被加载。

2. require-corp

   • 所有嵌入的内容必须执行 COOP 策略并提供适当的 CORS（跨源资源共享）标头。
   • 页面必须至少符合以下条件之一：
     • 它们遵守相同的站点策略（SameSite/Same-Origin 特性）。
     • 提供正确的 CORS 响应头以表明它们同意被引用。
     • 使用 Access-Control-Allow-Origin 设置该头部为 null 或 *。

3. credentialed（未来可能会废弃）

   • 类似于 require-corp，不过还会要求来自其他源的嵌入式内容发送带凭据的请求。
   • 这些请求必须包含正确的 Origin 头部或者合适的 CORS 头部。

从安全的角度来看，require-corp 是目前推荐使用值，因为它可以防止在不知道的情况下页面被嵌入到其他来源的文档中。这能够减少由潜在的恶意网站引起的被动混合内容问题和可能通过嵌入关系冒用的信息。

require-corp 还强制要求站点接收到的任何跨域请求都必须标明是可信的，从而防止了潜在的危害。这是实现一个重要的安全特性——讳言信任(content security)的关键部分。