我們通常提到跨域問題的時候，相信大家首先會想到的是?CORS(跨源資源共享)，其實?CORS?只是眾多跨域訪問場景中安全策略的一種，類似的策略還有：

• COEP: Cross Origin Embedder Policy：跨源嵌入程序策略
• COOP: Cross Origin Opener Policy：跨源開放者政策
• CORP: Cross Origin Resource Policy：跨源資源策略
• CORB: Cross Origin Read Blocking：跨源讀取阻止

COEP、COOP?這兩個新策略我已經(jīng)在前面的文章中介紹過了，感興趣的可以看新的跨域策略：使用COOP、COEP為瀏覽器創(chuàng)建更安全的環(huán)境

今天，我來給大家介紹一下?CORB: Cross Origin Read Blocking?(跨源讀取阻止)

站點隔離

互聯(lián)網(wǎng)是一個非常復雜多樣的環(huán)境，我們可以在上面做各種事情，有的時候我們在上面存錢、有的時候在上面看視頻，但是你肯定不希望看視頻的網(wǎng)站知道你存了多少錢，所以在瀏覽器中不同來源的站點不能互相訪問，我們熟悉的另一個名稱是：同源策略。

但是很多惡意網(wǎng)站會通過各種巧妙的手段繞過這個限制，站點隔離是?Chrome?中的一項安全功能，它提供了額外的防護措施，可以降低此類攻擊成功的可能性。

它可以確保始終將來自不同網(wǎng)站的頁面置于不同的流程中，每個流程都在沙箱中運行，以限制流程的執(zhí)行范圍。它還阻止了從其他站點接收某些類型的敏感數(shù)據(jù)的過程。

跨域讀取阻止

即使所有不同源的頁面都處于自己單獨的進程中，頁面仍然可以合法的請求一些跨站的資源，例如圖片和?JavaScript?腳本，有些惡意網(wǎng)頁可能通過??元素來加載包含敏感數(shù)據(jù)的?JSON?文件：

"https://your-bank.example/balance.json">

如果沒有?站點隔離?，則?JSON?文件的內(nèi)容會保存到渲染器進程的內(nèi)存中，此時，渲染器會注意到它不是有效的圖像格式，并且不會渲染圖像。但是，攻擊者隨后可以利用?Spectre?之類的漏洞來潛在地讀取該內(nèi)存塊。

Spectre?漏洞我也在這片文章介紹過了?新的跨域策略：使用COOP、COEP為瀏覽器創(chuàng)建更安全的環(huán)境

攻擊者可以使用??而不是使用??來將敏感數(shù)據(jù)提交到內(nèi)存：

超強干貨來襲 云風專訪：近40年碼齡，通宵達旦的技術(shù)人生

總結(jié)

以上是生活随笔為你收集整理的cors跨域_跨域，不止CORS的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。