Cross-Origin Embedder Policy (COEP)
Cross-Origin Embedder Policy (COEP) とは何ですか?
Cross-Origin Embedder Policy (COEP)An HTTP response header that forces every cross-origin subresource a document loads to explicitly opt in via CORS or CORP, completing the cross-origin isolation prerequisites alongside COOP.
Cross-Origin Embedder Policy (`Cross-Origin-Embedder-Policy`) is a browser security header that controls whether a document is allowed to embed cross-origin subresources without an explicit opt-in. With `require-corp`, every image, script, iframe, font, or other cross-origin asset must carry either a CORS response (`Access-Control-Allow-Origin`) or a Cross-Origin-Resource-Policy (CORP) header that authorizes the embed; otherwise the load fails. With `credentialless`, cross-origin requests for no-CORS resources are sent without cookies and treated as anonymous. COEP exists primarily to enable cross-origin isolation: when paired with `Cross-Origin-Opener-Policy: same-origin`, it unlocks high-resolution timers, `SharedArrayBuffer`, and other features that were restricted to mitigate Spectre. Deploying COEP often requires auditing third-party assets to ensure they ship `Cross-Origin-Resource-Policy: cross-origin` or proper CORS.
● 例
- 01
A WebAssembly-heavy app sends `Cross-Origin-Embedder-Policy: require-corp` and `Cross-Origin-Opener-Policy: same-origin` to re-enable `SharedArrayBuffer`.
- 02
A CDN that serves third-party scripts adds `Cross-Origin-Resource-Policy: cross-origin` so its assets remain embeddable in COEP-enforcing pages.
● よくある質問
Cross-Origin Embedder Policy (COEP) とは何ですか?
An HTTP response header that forces every cross-origin subresource a document loads to explicitly opt in via CORS or CORP, completing the cross-origin isolation prerequisites alongside COOP. サイバーセキュリティの アプリケーションセキュリティ カテゴリに属します。
Cross-Origin Embedder Policy (COEP) とはどういう意味ですか?
An HTTP response header that forces every cross-origin subresource a document loads to explicitly opt in via CORS or CORP, completing the cross-origin isolation prerequisites alongside COOP.
Cross-Origin Embedder Policy (COEP) はどのように機能しますか?
Cross-Origin Embedder Policy (`Cross-Origin-Embedder-Policy`) is a browser security header that controls whether a document is allowed to embed cross-origin subresources without an explicit opt-in. With `require-corp`, every image, script, iframe, font, or other cross-origin asset must carry either a CORS response (`Access-Control-Allow-Origin`) or a Cross-Origin-Resource-Policy (CORP) header that authorizes the embed; otherwise the load fails. With `credentialless`, cross-origin requests for no-CORS resources are sent without cookies and treated as anonymous. COEP exists primarily to enable cross-origin isolation: when paired with `Cross-Origin-Opener-Policy: same-origin`, it unlocks high-resolution timers, `SharedArrayBuffer`, and other features that were restricted to mitigate Spectre. Deploying COEP often requires auditing third-party assets to ensure they ship `Cross-Origin-Resource-Policy: cross-origin` or proper CORS.
Cross-Origin Embedder Policy (COEP) からどのように防御しますか?
Cross-Origin Embedder Policy (COEP) に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
Cross-Origin Embedder Policy (COEP) の別名は何ですか?
一般的な別名: COEP。
● 関連用語
- appsec№ 263
Cross-Origin Opener Policy (COOP)
An HTTP response header that lets a document opt into a process-isolated browsing context group, preventing cross-origin windows from inspecting or manipulating it via `window.opener` and friends.
- appsec№ 246
CORS(オリジン間リソース共有)
ブラウザが強制する仕組みで、サーバーが同一オリジンポリシーを選択的に緩め、あるオリジンの JavaScript から別オリジンのレスポンスを読み取れるようにする。
- appsec№ 237
コンテンツセキュリティポリシー (CSP)
スクリプト・スタイル・フレームなどの読み込み元をブラウザに指示する HTTP レスポンスヘッダで、XSS やデータ注入攻撃の影響を抑える。
- appsec№ 552
HTTP セキュリティヘッダ
HTTPS 強制・フレーム制限・コンテンツポリシー・リファラ制御などの防御動作をブラウザに指示するレスポンスヘッダ群。
- appsec№ 1164
サイト分離
異なるサイトのドキュメントを別々の OS プロセスに割り当て、侵害された描画プロセスからクロスサイトのデータを読み取れないようにする Chromium のセキュリティ機構。
- vulnerabilities№ 1192
Spectre
CPU の投機的実行を悪用し、キャッシュベースのサイドチャネルを介してセキュリティ境界を越えてデータを漏えいさせるマイクロアーキテクチャ攻撃の総称。
● 関連項目
- № 911Permissions-Policy