Cross-Origin-Resource-Policy
October 1, 2020
Category
Defense
Cross-Origin Resource Policy(CORP)は、Webプラットフォームのセキュリティ機能であり、Webサイトが特定のリソースを他のオリジンによってロードされるのを防ぐことができます。 この保護はオプトイン防御であるためCORBを補完しますが、CORBはデフォルトで一部のクロスオリジン読み取りをブロックします。 CORPは、開発者が攻撃者によって制御されるプロセスに機密リソースが到達しないようにすることで、投機的実行攻撃とXSリークの両方から保護するように設計されています。 CORBとは異なり、この保護は、アプリケーションが保護をオプトインした場合にのみブラウザーに適用されます。 アプリケーションは、どのオリジンのグループ(‘same-site’,‘same-origin’, ‘cross-site’)がリソースの読み取りを許可されるかを定義できます。
アプリケーションが特定のリソースCORPヘッダーを「same-site」または「same-origin」として設定した場合、攻撃者はそのリソースを読み取ることができません。これは非常に強力で、推奨される保護です。
CORPを使用するときは、次の点に注意してください。
- CORPはナビゲーションリクエストに対して保護しません。 つまり、プロセス外のiframeをサポートしていないブラウザでは、CORPで保護されたリソースは、[Framing protections](https://webapppentestguidelines.github.io/xs-leaks/docs/defenses/opt-in/xfo/)は使用されていない場合、他のオリジンのプロセスで終了する可能性があります。
- CORPを使用すると、[a new XS-Leak](https://webapppentestguidelines.github.io/xs-leaks/docs/attacks/browser-features/corp/)も付随し、攻撃者はあるリクエストでCORPが実施されたかどうかを検出することができます。