问题标签 [cross-origin-opener-policy]

我正在使用 javascript window.opener属性来刷新子窗口中的父窗口。

父窗口只包含一个包含数据的表和一个到子窗口的链接，当子窗口打开时，使用window.opener属性在父窗口中执行一个 js 函数，父窗口中的 js 函数使用 ajax 刷新表。

问题出在window.opener因为当用户使用右键单击（上下文菜单）打开链接时为 NULL。

例子：

父.jsp

子.jsp

铬 81

服务器配置了响应头 'Cross-Origin-Opener-Policy':'same-origin', 'Cross-Origin-Embedder-Policy':'require-corp',

浏览器访问服务器界面没有问题

铬 83

服务器配置了响应头 'Cross-Origin-Opener-Policy':'same-origin', 'Cross-Origin-Embedder-Policy':'require-corp',

我的浏览器访问服务器接口返回错误：加载资源失败：net::ERR_BLOCKED_BY_RESPONSE

将响应头添加到服务器接口后，该接口就可以正常访问了。“跨域资源策略”：“跨域”

我们的一些接口需要第三方接口，例如 AWS 上传。我们无法为这些接口配置'Cross-Origin-Resource-Policy':'cross-origin' 这将导致使用 AWS 上传失败。这种情况有什么解决办法吗？

根据 Mozilla 的说法，iOS 上没有浏览器支持跨域打开器策略，这是启用 SharedArrayBuffer 的安全要求之一。这是否意味着我不能将 SharedArrayBuffer 用于 iOS 平台上的任何 Web 应用程序？

我有一个使用“create-react-app”创建的 React 应用程序（我也使用 jsdom NPM 包），由于某种原因，该应用程序在加载时仅在 Firefox 中引发错误（在 Chrome 和 Edge 中运行良好）。
这是错误：

经过一番谷歌搜索后，我发现：
“要在 Firefox 中启用 SharedArrayBuffer，请转到 about:config 并将 javascript.options.shared_memory 首选项设置为 true” （https://github.com/ggerganov/kbd-audio/issues/9）
问题是它已经启用为true。

以前有人遇到过这个问题吗？谢谢。

更新：

试图转换为：

仍然得到相同的错误（与 SharedArrayBuffer 对象不同的行）。

我想在 Firefox 上使用 SharedArrayBuffer。所以我让我的网络服务器根据文档在响应头中添加 Cross-Origin-Opener-Policy 和 Cross-Origin-Embedder-Policy 。

当您以 localhost 访问服务器时它工作正常，但当您以 IP 地址访问服务器时它不起作用。我该如何解决？

Firefox 的版本是 83.0。

谢谢。

我有一个里面有 iframe 的网页：

它在 Firefox 中运行良好。

如果我添加

Firefox 不显示 iframe 内容。错误：

我需要两个标题才能启用crossOriginIsolated.

iframe和主页面同源，为什么firefox添加第二个header后不显示iframe内容？

Cross-Origin-Opener-Policy标头似乎与在新选项卡 (target="_blank") 中打开文档时 rel="noopener noreferrer" 属性的作用非常相似。

我什么时候应该使用哪一个？当我在来源之间链接时，COOP 标头似乎适用，而 rel="noopener noreferrer" 属性（在锚标签上）似乎也适用于同一来源

COOP 标头也不能通过 HTTP 工作。

我应该同时使用吗？他们似乎很互补。

我在这里有点困惑

今天我收到了一封来自谷歌的邮件：

https://example.com/上对 SharedArrayBuffers 的新要求

Google 系统最近检测到在https://example.com/上使用了SharedArrayBuffers (SAB) ，但不提供COOP和/或COEP标头。

出于网络兼容性的原因，Chrome 计划从 Chrome 91 (2021-25-05) 开始要求 COOP/COEP 才能使用 SAB。请在您的网站上实施“跨域隔离”行为。

今天下午我一直在读这个，但我完全迷路了！

我在我的网站上大量使用了以下内容：

1. 来自 Freestar.io 的广告
2. 托管在 AWS 存储桶中的静态内容（JS、CSS 和一些图像）
3. iframe 中来自 Youtube 和 Vimeo 的内容
4. 从各种 CDN 引导 CSS、JS 和 jQuery

我已经检查了来自 CDN 的标头，并且可以看到cross-origin-resource-policy设置为cross-origin，因此，如果我在我的网站上设置这些标头：

Cross-Origin-Embedder-Policy=require-corp

Cross-Origin-Opener-Policy=same-origin

cross-origin-resource-policy: cross-origin然后，只要我在crossorigin此处包含选项，就可以显示来自 CDN 的内容，其中提供的内容的标题包含标题：

但是，我查看了其他各种站点，但它们没有这些标题。这些网站包括以下内容：

1. AWS
2. Freestar.io 广告
3. Youtube 和 Vimeo

我的问题是：

1. 有谁知道是否可以配置 AWS 存储桶，以便存储桶提供的内容包含cross-origin-resource-policy标头？我已经搜索但找不到任何东西来解释如何做到这一点。
2. 一旦 Chrome 更改为实施，广告和视频将不再显示require COOP/COEP for the use of SABs，如果是这样，这只是我被困住并且无能为力的事情，因为我无法让外部网站在他们的内容中包含该标题服务？

我们收到来自 Google 的消息，说我们需要添加 COOP 和/或 COEP 标头

https://example.com/上对SharedArrayBuffers的新要求Google 系统最近检测到在https://example.com/ 上使用了 SharedArrayBuffers (SAB) ，但不提供COOP和/或COEP标头。出于 Web 兼容性原因，Chrome 计划从 Chrome 91 (2021-05-25) 开始要求 COOP/COEP 才能使用 SAB。请在您的网站上实施“跨域隔离”行为。

我们相应地添加了这些标题。

并为所有外部资源添加crossorigin属性

然而，

第三方外部脚本加载的其他资源不会加载，会ERR_BLOCKED_BY_RESPONSE报错。

这不是在添加 COOP 和 COEP 标头后唯一被破坏的第 3 方脚本。Google Recaptcha v2 也坏了。

这发生在 Chrome 版本 89.0.4389.90

有谁知道如何在不要求每个第三方为我们更改其 CORS 标头的情况下解决此问题？

我的网站有问题。我使用了需要 SharedArrayBuffers 的 ffmpeg.wasm。这要求我包含作为标题 Access-Control-Allow-Origin: same-origin。问题是这会阻止我的 YouTube 视频和我的库（如 recaptcha）。我完全不知道如何使用两者。有人对此有任何提示吗？无法从文档中弄清楚。

感谢所有的答案。

即使在我的网站上有推荐的标题，我也会从我的 js 中收到我正在使用 SAB 的消息。