Cross-Origin Resource Policy

CORP

Cross-Origin Resource Policy (CORP) - HTTP | MDN

クロスオリジンリソースポリシーは Cross-Origin-Resource-Policy ヘッダーによって設定されるポリシーで、ウェブサイトやアプリケーションが他のオリジンから (<script> や <img> などの要素を使用して発行された) 特定のリクエストに対する保護をオプトインすることで、 Spectre のような投機的なサイドチャネル攻撃や、クロスサイトスクリプトインクルージョン攻撃を緩和することができます。

Cross Origin Read Blockingを補完するもので、目的はCross Origin Read Blockingと同じく機密情報の不当な読み込みによってサイドチャネル攻撃が成立することを防ぐためのもの。

ファイルの提供側が、ファイルの読み込みを許可するサイトをレスポンスヘッダーに大まかに指定できる

ただしCross Origin Resource Sharingを許可しないようにヘッダーを設定したとしても、プロキシサーバーによってヘッダを書き換えることで読み込むことができる。

cors-anywhere

Node.jsによるCORS Proxyの実装