CORP
Kurzdefinition
Cross-Origin Resource Policy: Kontrolliert, welche Ursprünge (Origins) eine bestimmte Ressource einbetten dürfen.
Ausführliche Erklärung
Die Cross-Origin-Resource-Policy (CORP) wird auf einzelne Ressourcen gesetzt und legt fest, von welchen Ursprüngen sie eingebettet werden dürfen – mögliche Werte sind `same-origin`, `same-site` und `cross-origin`. CORP schützt insbesondere vor Side-Channel-Angriffen wie Spectre, indem es verhindert, dass sensible Ressourcen ungewollt in fremde Kontexte geladen werden. Es ist das serverseitige Gegenstück, das COEP-geschützte Seiten erwarten.
Beispiel
`Cross-Origin-Resource-Policy: same-origin` stellt sicher, dass eine API-Antwort nur von der eigenen Domain, nicht aber von fremden Seiten eingebunden werden kann.
Im ausführlichen Fachartikel erklären wir CORP mit Architektur, Praxisbeispielen und Best Practices im Detail: