使用的缩写:
- CORP:跨域资源策略
- CORS:跨域资源共享
- CORB:跨源读取阻塞
- SSCA:投机侧信道攻击,如 Spectre
看了这篇文章,还是不明白为什么需要跨域隔离和CORB/CORP。具体来说:
如果网页可以在不使用跨域隔离功能(如
SharedArrayBuffer)的情况下执行 SSCA,这就是 Chromium 的假设:- 为什么需要跨域隔离才能访问这些功能?
否则,如果网页在不使用跨域隔离功能的情况下无法执行 SSCA:
- 为什么需要 CORB 和 CORP?
另外,由于网页可以使用跨域隔离功能执行 SSCA,那么使用Cross-Origin-Resource-Policy: cross-origin和之间有什么区别Access-Control-Allow-Origin: *,因为 SSCA 可以通过嵌入资源来读取数据并且Access-Control-Allow-Origin: *不需要它?