Cross -Origin-Resource-Policy es un encabezado de tipo de respuesta HTTP que permite a los servidores protegerse contra ciertas incrustaciones de orígenes cruzados o sitios cruzados de la fuente devuelta. Complementa el bloqueo de lectura de origen cruzado (un mecanismo que se utiliza para evitar algunas lecturas de origen cruzado), por lo que es especialmente valioso para los recursos que no están cubiertos por CORB. Esto también sirve como una capa adicional a la política del mismo origen. Esto ayuda a mitigar los ataques especulativos de canal lateral, así como los ataques de inclusión de secuencias de comandos entre sitios.
La política de recursos de origen cruzado es la única forma de proteger las imágenes de los ataques de Spectre o de los renderizadores comprometidos.
Sin embargo, debido a un error de Chrome, este encabezado de respuesta a veces puede interrumpir las descargas de archivos e impedir que los usuarios utilicen Guardar como y Guardar imagen como en los recursos.
Sintaxis:
Cross-Origin-Resource-Policy: same-site | same-origin | cross-site
Directivas: este encabezado acepta tres directivas como se mencionó anteriormente y se describe a continuación:
- mismo sitio: esta directiva permitía a los usuarios leer los recursos solo cuando el navegador reconoce sus requests desde el mismo sitio (dominio registrable).
- mismo origen: esta directiva permitía a los usuarios leer los recursos solo cuando el navegador reconoce sus requests desde el mismo origen ([esquema, host, puerto]).
- cross-site: esta directiva permitió que las requests de los usuarios de diferentes sitios también puedan leer los recursos.
Nota: Si se establece un encabezado durante la verificación de recursos de origen cruzado, el navegador rechazará automáticamente todas las requests sin cors emitidas por un origen o sitio diferente.
Los siguientes ejemplos ilustran la política de recursos de origen cruzado HTTP :
Ejemplos:
- En el siguiente ejemplo, solo las requests que el navegador reconoce como del mismo sitio pueden leer los recursos.
Cross-Origin-Resource-Policy: same-site
- En el siguiente ejemplo, solo las requests que el navegador reconoce como del mismo origen pueden leer los recursos.
Cross-Origin-Resource-Policy: same-origin
Navegadores compatibles: los navegadores son compatibles con la política de recursos de origen cruzado HTTP que se enumeran a continuación:
- Google Chrome
- Firefox
- Safari
Publicación traducida automáticamente
Artículo escrito por sowmyarajucherukuri y traducido por Barcelona Geeks. The original can be accessed here. Licence: CCBY-SA