跨域，不止CORS

我們通常提到跨域問題的時(shí)候，相信大家首先會(huì)想到的是?CORS(跨源資源共享)，其實(shí)?CORS?只是眾多跨域訪問場景中安全策略的一種，類似的策略還有：

• COEP: Cross Origin Embedder Policy：跨源嵌入程序策略
• COOP: Cross Origin Opener Policy：跨源開放者政策
• CORP: Cross Origin Resource Policy：跨源資源策略
• CORB: Cross Origin Read Blocking：跨源讀取阻止

COEP、COOP?這兩個(gè)新策略我已經(jīng)在前面的文章中介紹過了，感興趣的可以看新的跨域策略：使用COOP、COEP為瀏覽器創(chuàng)建更安全的環(huán)境

今天，我來給大家介紹一下?CORB: Cross Origin Read Blocking?(跨源讀取阻止)

站點(diǎn)隔離

互聯(lián)網(wǎng)是一個(gè)非常復(fù)雜多樣的環(huán)境，我們可以在上面做各種事情，有的時(shí)候我們?cè)谏厦娲驽X、有的時(shí)候在上面看視頻，但是你肯定不希望看視頻的網(wǎng)站知道你存了多少錢，所以在瀏覽器中不同來源的站點(diǎn)不能互相訪問，我們熟悉的另一個(gè)名稱是：同源策略。

但是很多惡意網(wǎng)站會(huì)通過各種巧妙的手段繞過這個(gè)限制，站點(diǎn)隔離是?Chrome?中的一項(xiàng)安全功能，它提供了額外的防護(hù)措施，可以降低此類攻擊成功的可能性。

它可以確保始終將來自不同網(wǎng)站的頁面置于不同的流程中，每個(gè)流程都在沙箱中運(yùn)行，以限制流程的執(zhí)行范圍。它還阻止了從其他站點(diǎn)接收某些類型的敏感數(shù)據(jù)的過程。

跨域讀取阻止

即使所有不同源的頁面都處于自己單獨(dú)的進(jìn)程中，頁面仍然可以合法的請(qǐng)求一些跨站的資源，例如圖片和?JavaScript?腳本，有些惡意網(wǎng)頁可能通過??元素來加載包含敏感數(shù)據(jù)的?JSON?文件：

"https://your-bank.example/balance.json">

如果沒有?站點(diǎn)隔離?，則?JSON?文件的內(nèi)容會(huì)保存到渲染器進(jìn)程的內(nèi)存中，此時(shí)，渲染器會(huì)注意到它不是有效的圖像格式，并且不會(huì)渲染圖像。但是，攻擊者隨后可以利用?Spectre?之類的漏洞來潛在地讀取該內(nèi)存塊。

Spectre?漏洞我也在這片文章介紹過了?新的跨域策略：使用COOP、COEP為瀏覽器創(chuàng)建更安全的環(huán)境

攻擊者可以使用?