Cross-Origin-Embedder-Policy (COEP)
Ermöglicht es einem Server, eine Einbettungsrichtlinie für ein bestimmtes Dokument zu deklarieren.
Beispiel:
Cross-Origin-Embedder-Policy require-corp
unsafe-none
Dies ist der Standardwert.
Ermöglicht dem Dokument das Abrufen ursprungsübergreifender Ressourcen,
ohne explizite Berechtigung über das CORS-Protokoll
oder den Cross-Origin-Resource-Policy-Header zu erteilen.
require-corp
Ein Dokument kann nur Ressourcen aus demselben Ursprung
oder Ressourcen, die explizit als ladbar markiert sind,
aus einem anderen Ursprung laden.
Wenn eine ursprungsübergreifende Ressource CORS unterstützt,
muss das crossorigin-Attribut oder
der Cross-Origin-Resource-Policy-Header verwendet werden,
um sie zu laden, ohne von COEP blockiert zu werden.
credentialless
No-CORS-Cross-Origin-Anforderungen werden ohne Anmeldeinformationen gesendet.
Dies bedeutet insbesondere, dass Cookies in der Anfrage weggelassen
und in der Antwort ignoriert werden.
Die Antworten sind ohne explizite Berechtigung
über den Cross-Origin-Resource-Policy-Header zulässig.
Navigationsantworten verhalten sich ähnlich wie der Modus:
Sie erfordern den Cross-Origin-Resource-Policy-Antwortheader.
Hier sind die vollständigen Namen der Funktionen
COEP: Cross Origin Embedder-Richtlinie
COOP: Ursprungsübergreifende Opener-Richtlinie
CORP: Cross-Origin-Ressourcenrichtlinie
CORS: Ursprungsübergreifende Ressourcenfreigabe
CORB: Cross-Origin-Leseblockierung
weitere Infos unter scotthelme.co.uk