跨源读取阻止 (CORB),这是一种算法,通过该算法可以识别可疑的跨源资源加载,并在它们到达网页之前被 Web 浏览器阻止。CORB 通过使敏感数据远离跨源网页来降低泄露敏感数据的风险。在大多数浏览器中,它将此类数据排除在不受信任的脚本执行上下文之外。在具有Site Isolation的浏览器中,它可以将此类数据完全排除在不受信任的渲染器进程之外,甚至有助于抵御边信道攻击。
2024/1/16大约 14 分钟
- 前端11
- Web10
- JavaScript8
- 最佳实践6
- 浏览器工作原理6
- Web安全5
- 性能优化5
- 浏览器原理3
- React3
- 架构3
- 教程3
- TypeScript3
- Node.js2
- 后端2
- 更新日志2
- 安全2
- 软件设计2
- 编程2
- 软件工程2
- CORB2
- git1
- 网络通信1
- 前端测试1
- 前端工具1
- 前端架构1
- HTTPS1
- 安全上下文1
- 数字证书1
- 加密算法1
- Express1
- Astro1
- 金融1
- Solid1
- 交互设计1
- 工程化1
- DevOps1
- CSS1
- SEO1
- 搜索引擎1
- 技术选型1
- 代码质量1
- 企业级开发1
- Chrome扩展1
- Manifest V31
- Web Components1
- 前端技术1
- CSP1
CORB 对图像的影响
CORB 对标签应该没有明显的影响<img>,除非图像资源 1) 被错误地标记为不正确的、非图像的、受 CORB 保护的 Content-Type 和 2) 与响应标头一起提供X-Content-Type-Options: nosniff。
例子:
- 正确标记的 HTML 文档
- 标签中使用的资源
<img>:- 正文:一个 HTML 文档
Content-Type: text/html- 没有
X-Content-Type-Options标题
- 预期行为:无明显差异。当 1) 尝试将 html 文档呈现为图像(没有 CORB)和 2) 尝试将空响应呈现为图像(当 CORB 阻止响应时)时,呈现的图像应该是相同的损坏图像。
- WPT测试:
fetch/corb/img-html-correctly-labeled.sub.html
- 标签中使用的资源
- 错误标记的图像(嗅探)
- 标签中使用的资源
<img>:- 正文:图像
Content-Type: text/html- 没有
X-Content-Type-Options标题
- 预期行为:无差异。CORB 将嗅探到响应主体实际上不是受 CORB 保护的类型,因此将允许响应。
- WPT测试:
fetch/corb/img-png-mislabeled-as-html.sub.html
- 标签中使用的资源
- 错误标记的图像(nosniff)
- 标签中使用的资源
<img>:- 正文:图像
Content-Type: text/htmlX-Content-Type-Options: nosniff
- 预期行为:可观察到的差异。由于
nosniff标头,CORB 将不得不依赖Content-Type标头。因为此响应被错误标记(正文是图像,但标题Content-Type说它是 html 文档),CORB 将错误地将响应分类为需要 CORB 保护。 - WPT测试:
fetch/corb/img-png-mislabeled-as-html-nosniff.tentative.sub.html
- 标签中使用的资源
2024/1/15大约 10 分钟