Salt la conținut
Securitate Web

Ce este Cross-Origin Isolation (COEP, COOP, CORP)?

Set de headere de securitate care izoleaza site-ul de alte origini

Definiție Cross-Origin Isolation (COEP, COOP, CORP)

Cross-Origin Isolation include 3 headere HTTP: COEP (Cross-Origin-Embedder-Policy) controleaza ce resurse externe pot fi incarcate, COOP (Cross-Origin-Opener-Policy) izoleaza fereastra browserului de alte ferestre, CORP (Cross-Origin-Resource-Policy) controleaza cine poate incarca resursele tale. Impreuna, protejeaza impotriva atacurilor de tip Spectre.

De ce contează Cross-Origin Isolation (COEP, COOP, CORP)

Cross-Origin Isolation, activata prin headerele COOP si COEP, izoleaza complet pagina de resurse cross-origin si permite accesul la API-uri de inalta precizie precum SharedArrayBuffer. Fara aceasta izolare, atacuri de tip Spectre pot extrage date din memoria procesului browser prin canale laterale de timing cu precizie de nanosecunde.

Cum verifici Cross-Origin Isolation (COEP, COOP, CORP)

SoftAudit verifica prezenta anteturilor Cross-Origin-Opener-Policy: same-origin si Cross-Origin-Embedder-Policy: require-corp pe raspunsul principal. Testeaza daca proprietatea JavaScript crossOriginIsolated ar returna true si identifica resursele cross-origin care ar putea fi blocate de COEP.

Verifică securitatea site-ului →

Greșeli frecvente

Activarea COEP require-corp fara a adauga crossorigin pe resursele externe (imagini, fonturi de pe CDN) blocheaza incarcarea lor complet. Setarea COOP same-origin rupe integrarea cu popup-uri de autentificare OAuth care necesita comunicare intre ferestre de origini diferite.

Bune practici

Incepe cu Cross-Origin-Opener-Policy: same-origin-allow-popups daca folosesti autentificare OAuth cu popup si Cross-Origin-Embedder-Policy: credentialless ca alternativa mai permisiva la require-corp. Adauga crossorigin="anonymous" pe toate resursele externe si testeaza complet site-ul in modul izolat inainte de deploy.

Verifică acum

Folosește instrumentul gratuit SoftAudit pentru a verifica cross-origin isolation (coep, coop, corp) pe site-ul tău.

Verificare Securitate — Gratuit

Întrebări frecvente

Ce este Cross-Origin Isolation (COEP, COOP, CORP)?

Cross-Origin Isolation include 3 headere HTTP: COEP (Cross-Origin-Embedder-Policy) controleaza ce resurse externe pot fi incarcate, COOP (Cross-Origin-Opener-Policy) izoleaza fereastra browserului de alte ferestre, CORP (Cross-Origin-Resource-Policy) controleaza cine poate incarca resursele tale. Impreuna, protejeaza impotriva atacurilor de tip Spectre.

De ce este important Cross-Origin Isolation (COEP, COOP, CORP) pentru un website?

Cross-Origin Isolation, activata prin headerele COOP si COEP, izoleaza complet pagina de resurse cross-origin si permite accesul la API-uri de inalta precizie precum SharedArrayBuffer. Fara aceasta izolare, atacuri de tip Spectre pot extrage date din memoria procesului browser prin canale laterale de timing cu precizie de nanosecunde.

Termeni asociați

Înapoi la glosarul complet