本頁面由 Cloud Translation API 翻譯而成。

使用 COOP 和 COEP 建立網站 "跨來源隔離

使用 COOP 和 COEP 設定跨來源隔離環境時，可以更精準地啟用 SharedArrayBuffer、performance.measureUserAgentSpecificMemory() 和高解析度計時器等強大的功能。

Eiji Kitamura

注意： Chrome 電腦版的 SharedArrayBuffer 要求自 Chrome 92 版開始執行跨來源隔離。詳情請參閱 Android Chrome 88 和電腦版 Chrome 92 的 SharedArrayBuffer 更新。

更新

2022 年 6 月 21 日：執行跨來源隔離時，工作站指令碼也需要謹慎已新增一些說明。
2021 年 8 月 5 日：我們將 JS Self-Profiling API 列為一種 API 需要跨來源隔離，但可反映近期異動方向、就會移除
2021 年 5 月 6 日：我們根據使用者的意見回饋和問題，決定調整在未跨來源隔離網站的「SharedArrayBuffer」用量時間軸在 Chrome M92 中受到限制
2021 年 4 月 16 日：新增關於新 COEP 無憑證認證的附註模式和COOP 不妨使用 same-origin-allow-popups 跨來源的條件和隔離機制
2021 年 3 月 5 日：移除 SharedArrayBuffer 的限制。 performance.measureUserAgentSpecificMemory() 和偵錯功能此功能目前已在 Chrome 89 版中全面啟用。新增即將推出的功能 performance.now()和performance.timeOrigin，兩者會較高精確度。
2021 年 2 月 19 日：新增功能政策附註 allow="cross-origin-isolated" 和開發人員工具中的偵錯功能。
2020 年 10 月 15 日：self.crossOriginIsolated 可在 Chrome 87 版中使用。在這個例子中，當 document.domain 處於不可變狀態時 self.crossOriginIsolated 會傳回 true。「performance.measureUserAgentSpecificMemory()」即將結束來源試用，在 Chrome 第 89 版中預設為啟用。Android Chrome 上的 Shared Array Buffer 我們會從 Chrome 88 開始提供。

某些網路 API 會增加如 Spectre 等旁路攻擊的風險。目的地：降低這項風險，瀏覽器提供了名為「選擇性」的獨立環境，跨來源隔離在跨來源隔離狀態的情況下可使用特殊權限功能，包括：

，瞭解如何調查及移除這項存取權。

將支援跨來源隔離的功能狀態。
API	說明
`SharedArrayBuffer`	WebAssembly 執行緒的必要項目。這項功能適用於 Android 裝置 Chrome 88。電腦版目前預設啟用的協助網站隔離，但需要跨來源隔離狀態和在 Chrome 第 92 版中預設為停用。
`performance.measureUserAgentSpecificMemory()`	適用於 Chrome 89 版。
`performance.now()`、`performance.timeOrigin`	目前適用於多種瀏覽器，解析度有限 100 微秒以上。透過跨來源隔離最高則可達 5 微秒以上。

此外，跨來源隔離狀態也會阻止修改 document.domain。(能夠修改 document.domain) 可讓通訊且在網站的相同來源政策)。

如要選擇啟用跨來源隔離狀態，您需要傳送以下項目主要文件的 HTTP 標頭：

Cross-Origin-Embedder-Policy: require-corp
Cross-Origin-Opener-Policy: same-origin

這些標頭會指示瀏覽器封鎖載入資源或 iframe 未選擇由跨來源文件載入跨來源視窗與文件直接互動這也表示跨來源載入的資源須有選擇啟用。

如要判斷網頁是否處於跨來源隔離狀態，請按照下列步驟操作：檢查中 self.crossOriginIsolated。

本文說明如何使用這些新標頭。後續追蹤這篇文章，我會提供更多背景資訊和相關資訊。

注意： 本文適用於想要為網站做好準備，以便使用 SharedArrayBuffer、WebAssembly 執行緒、performance.measureUserAgentSpecificMemory() 或高解析度計時器 (針對不同瀏覽器平台) 的使用者做好準備。

，瞭解如何調查及移除這項存取權。

部署 COOP 和 COEP，即可跨來源隔離您的網站

整合 COOP 和 COEP

1. 在頂層文件設定 `Cross-Origin-Opener-Policy: same-origin` 標頭

只要在頂層文件啟用「COOP: same-origin」，視窗就會保持同步和從文件開啟的視窗，則會有獨立的瀏覽結構定義群組，除非它們來自具有相同 COOP 設定的來源。因此，系統會針對開啟的視窗強制執行隔離作業，並在應用程式之間進行雙向通訊這兩個視窗都已停用

注意： 這會中斷需要跨來源視窗互動 (例如 OAuth 和付款) 的整合作業。為解決這個問題，我們正在探索放寬條件，以啟用對 Cross-Origin-Opener-Policy: same-origin-allow-popups 的跨來源隔離。如此一來，我們就能與視窗本身開啟的視窗通訊。如要啟用跨來源隔離功能，但又受到這個問題封鎖，建議你註冊來源試用，並等到新條件推出後再啟用。在這個問題解決之前，我們並不打算終止來源試用。

瀏覽情境群組是一組可以參照的視窗。適用對象例如透過 <iframe> 嵌入的頂層文件及其子文件。如果網站 (https://a.example) 開啟了彈出式視窗 (https://b.example)，開啟器視窗和彈出式視窗會共用相同的瀏覽環境，因此但可透過 DOM API (例如 window.opener) 存取彼此。

瀏覽內容群組

你可以查看視窗開啟器和開啟者是否在獨立瀏覽中開發人員工具中的結構定義群組。

2. 確保資源已啟用 CORP 或 CORS

確認網頁中的所有資源均以 CORP 或 CORS HTTP 的形式載入標題。此為步驟四，啟用 COEP 的必要步驟。

根據資源性質，您需採取以下行動：

如果預期僅從相同來源載入資源，請設定 Cross-Origin-Resource-Policy: same-origin 標頭。
如果資源預期只會從同一個網站載入，但會跨越不同網站 origin，設定 Cross-Origin-Resource-Policy: same-site 標頭。
如果資源是從您控管的跨來源載入，請設定 Cross-Origin-Resource-Policy: cross-origin 標頭。
對於您無法控管的跨來源資源：
- 如果資源，請使用載入 HTML 標記中的 crossorigin 屬性透過 CORS 放送例如 <img src="***" crossorigin>。
- 請要求資源擁有者支援 CORS 或 CORP。
針對 iframe，請遵循上述原則，並設定 Cross-Origin-Resource-Policy: cross-origin (或same-site，same-origin) 則視情境而定)。
使用 WebWorker 載入的指令碼必須由相同來源提供。因此不需要 CORP 或 CORS 標頭
適用於透過 COEP: require-corp 處理的文件或 worker，跨來源在沒有 CORS 的情況下載入的子資源必須設定 Cross-Origin-Resource-Policy: cross-origin 標頭，才能選擇嵌入。舉例來說 <script>、importScripts、<link>、<video>、<iframe>等。

，瞭解如何調查及移除這項存取權。

您可以為 <iframe> 標記套用 allow="cross-origin-isolated" 權限政策，並符合本文所述的相同條件，針對內嵌於 iframe 中的文件啟用跨來源隔離功能。請注意，整個文件鏈結 (包括上層頁框和子頁框) 也必須跨來源隔離。

，瞭解如何調查及移除這項存取權。

3. 使用 COEP Report-Only HTTP 標頭評估內嵌資源

在完全啟用 COEP 之前，您可以使用檢查政策的 Cross-Origin-Embedder-Policy-Report-Only 標頭以及實際可行的。您會收到報告，但不會封鎖嵌入的內容。

以遞迴方式將這項設定套用至「所有」文件，包括頂層文件、 iframe 和工作站指令碼。如需進一步瞭解「報表專用 HTTP」標頭，請參閱使用報表觀察問題 API。

4. 啟用 COEP

確定一切運作正常之後已成功載入，請切換 Cross-Origin-Embedder-Policy-Report-Only 設為 Cross-Origin-Embedder-Policy 標頭，且所有屬性的值都相同文件，包括透過 iframe 和工作站指令碼嵌入的文件。

，瞭解如何調查及移除這項存取權。，瞭解如何調查及移除這項存取權。

注意： 我們一直在研究如何為大規模部署 Cross-Origin-Resource-Policy，因為跨來源隔離需要所有子資源明確選擇加入計畫。我們也想出相反的想法：新的 COEP「無憑證」模式，藉由去除所有憑證，在沒有 CORP 標頭的情況下載入資源。我們希望這可以減輕您的負擔，讓您更容易確認子資源確實傳送 Cross-Origin-Resource-Policy 標頭。不過，credentialless 模式可透過 Chrome 96 版使用，但其他瀏覽器尚未支援，因此部分開發人員可能會認為要部署 COOP 或 COEP 並不容易。如果您尚未啟用跨來源隔離功能，建議您註冊來源試用，並等到 credentialless 適用於更多瀏覽器為止。

利用 `self.crossOriginIsolated` 判斷隔離作業是否成功

self.crossOriginIsolated 屬性會傳回 true，如果網頁位於跨來源隔離狀態，且所有資源和視窗都隔離在相同的瀏覽情境群組您可以使用這個 API 判斷已成功區隔瀏覽情境群組並存取強大的功能，例如 performance.measureUserAgentSpecificMemory()。

使用 Chrome 開發人員工具偵錯問題

您可以輕鬆對畫面上顯示的資源 (例如圖片) 要求封鎖 COEP 問題，因為要求遭到封鎖，且網頁會表示缺少圖片不過，對於程式碼可能引發視覺影響 (例如腳本或樣式) 或 COEP 問題讓您毫無頭緒如要使用這項工具，請使用開發人員工具「Network」面板。如果 COEP 有問題：狀態中的 (blocked:NotSameOriginAfterDefaultedToSameOriginByCoep) 。

您只要按一下這些項目，就能查看更多詳細資料。

您也可以透過「Application」面板。前往「頁框」找到左側的小部分展開「頂端」查看資源結構細目。

您可以查看 iframe 的狀態，例如 SharedArrayBuffer 的可用性、依此類推

你也可以檢查彈出式視窗的狀態，例如是否為跨來源而且系統互不相關

使用 Reporting API 觀察問題

Reporting API 是另一種機制，您可以偵測各種問題您可以設定 Reporting API 使用者瀏覽器傳送報告給瀏覽器，在 COEP 阻止資源載入時傳送報告或 COOP 隔離彈出式視窗Chrome 現已支援 Reporting API，從現在開始第 69 版適用於多種用途，包括 COEP 和 COOP。

注意： 您是否已使用內含 Report-To 標頭的 Reporting API？Chrome 即將改用新版 Reporting API，其中 Report-To 會替換為 Reporting-Endpoints。建議您改用新版本詳情請參閱「遷移至 Reporting API v1」一文。

瞭解如何設定 Reporting API 及設定要接收的伺服器請前往「使用報表 API。

COEP 報告範例

COEP 範例報告在封鎖跨來源資源時的酬載如下所示：

[{
  "age": 25101,
  "body": {
    "blocked-url": "https://third-party-test.glitch.me/check.svg?",
    "blockedURL": "https://third-party-test.glitch.me/check.svg?",
    "destination": "image",
    "disposition": "enforce",
    "type": "corp"
  },
  "type": "coep",
  "url": "https://cross-origin-isolation.glitch.me/?coep=require-corp&coop=same-origin&",
  "user_agent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/87.0.4249.0 Safari/537.36"
}]

敬上

注意： blocked-url 只是為了回溯相容性，而最終會移除。

COOP 報告範例

COOP 範例報表酬載這類獨立彈出式視窗開啟後看起來會像這樣：

[{
  "age": 7,
  "body": {
    "disposition": "enforce",
    "effectivePolicy": "same-origin",
    "nextResponseURL": "https://third-party-test.glitch.me/popup?report-only&coop=same-origin&",
    "type": "navigation-from-response"
  },
  "type": "coop",
  "url": "https://cross-origin-isolation.glitch.me/coop?coop=same-origin&",
  "user_agent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/87.0.4246.0 Safari/537.36"
}]

當不同的瀏覽情境群組嘗試存取彼此時 (僅限「僅限報表」模式)，COOP 也會傳送報告。舉例來說嘗試 postMessage() 時看起來會像這樣：

[{
  "age": 51785,
  "body": {
    "columnNumber": 18,
    "disposition": "reporting",
    "effectivePolicy": "same-origin",
    "lineNumber": 83,
    "property": "postMessage",
    "sourceFile": "https://cross-origin-isolation.glitch.me/popup.js",
    "type": "access-from-coop-page-to-openee"
  },
  "type": "coop",
  "url": "https://cross-origin-isolation.glitch.me/coop?report-only&coop=same-origin&",
  "user_agent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/87.0.4246.0 Safari/537.36"
},
{
  "age": 51785,
  "body": {
    "disposition": "reporting",
    "effectivePolicy": "same-origin",
    "property": "postMessage",
    "type": "access-to-coop-page-from-openee"
  },
  "type": "coop",
  "url": "https://cross-origin-isolation.glitch.me/coop?report-only&coop=same-origin&",
  "user_agent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/87.0.4246.0 Safari/537.36"
}]

結論

使用 COOP 和 COEP HTTP 標頭的組合，為網頁指定特殊狀態跨來源隔離狀態您將可以檢查 self.crossOriginIsolated：用於判斷網頁是否屬於跨來源獨立狀態

我們會在本文章推出新功能時一併更新持續改善開發人員工具中的跨來源隔離狀態比較 COOP 和 COEP

使用 COOP 和 COEP 建立網站 "跨來源隔離

部署 COOP 和 COEP，即可跨來源隔離您的網站

整合 COOP 和 COEP

1. 在頂層文件設定 Cross-Origin-Opener-Policy: same-origin 標頭

2. 確保資源已啟用 CORP 或 CORS

3. 使用 COEP Report-Only HTTP 標頭評估內嵌資源

4. 啟用 COEP

利用 self.crossOriginIsolated 判斷隔離作業是否成功

使用 Chrome 開發人員工具偵錯問題

使用 Reporting API 觀察問題

COEP 報告範例

COOP 報告範例

結論

資源

1. 在頂層文件設定 `Cross-Origin-Opener-Policy: same-origin` 標頭

利用 `self.crossOriginIsolated` 判斷隔離作業是否成功