Cross-Origin-Resource-Policy یا بهطور مختصر CORP یکی از هدرهای مهم در HTTP است، که در جهت افزایش امنیت وبسایتها و برنامههای وب طراحی شده است. این هدر به شما این امکان را میدهد که مشخص کنید منابع شما از چه دامنههایی میتوانند فراخوانی شوند. در واقع این هدر به نوعی سیاست امنیتی است که کمک میکند مانع دسترسی و استفادهی مزاحمان از منابع شما شود.
امروزه با افزایش تعداد حملات و تهدیدات امنیتی در دنیای وب، اهمیت هدرهایی مانند CORP بهطور چشمگیری افزایش یافته است. این هدر بخش مهمی از چارچوب امنیتی وبسایتها را تشکیل میدهد و مانع از این میشود که منابع حساس یک وبسایت از طریق دامنههای غیر مجاز بارگیری شوند.
این هدر بهطور ویژه برای توسعهدهندگانی که در حال ساخت برنامههای وبی هستند، اهمیت فراوانی دارد چرا که میتوانند با تنظیمات درست، اطمینان حاصل کنند که منابعی مانند تصاویر، فونتها و حتی دادههای خصوصی تنها از دامنههای مشخصشده بارگیری میشوند.
برخی از مقدارهایی که میتوان برای CORP تعریف کرد شامل same-origin و cross-origin است. همانطور که از نام آنها مشخص است، مقدار same-origin بدین معناست که تنها درخواستهایی که از دامنهی خود سایت ارسال میشوند، میتوانند منابع را بارگیری کنند. در حالی که cross-origin به درخواستهایی از تمامی دامنهها اجازهی دسترسی میدهد، که البته این گزینه بهندرت و با احتیاط باید مورد استفاده قرار گیرد.
در زیر نمونهای از استفادهی این هدر در تنظیمات سرور ارائه شده است:
Header set Cross-Origin-Resource-Policy "same-origin"
توضیحات خط به خط:
Header set Cross-Origin-Resource-Policy "same-origin": با این خط، هدر CORP به صورت "same-origin" تنظیم میشود، به این معنا که فقط درخواستها از همان دامنه مجاز هستند.