سیاست منبع متقابل (CORP) یکی از راههای حفظ امنیت و حریم خصوصی در برنامههای وب است. با استفاده از CORP میتوانیم مشخص کنیم که کدام منابع از سایتهای دیگر قابل دسترسی هستند. این سیاست در ارتباط با منابعی مثل تصاویر، ویدئوها و افزونههای دیگر به کاربرده میشود.
اجازه ندادن به وبسایتها برای دسترسی به منابعی که نباید به آنها دسترسی داشته باشند، میتواند به بهبود امنیت کاربر کمک کند. CORP به ما اجازه میدهد که دسترسی به منابع را تنها به کسانی که بر اساس سیاستهای امنیتی تعریف شدهاند محدود کنیم.
این مکانیزم با تعیین هدرهای خاص در پاسخ HTTP کار میکند. برای منابع با ارزش بالا، بهتر است از CORP استفاده کنیم تا از دسترسی غیرمجاز جلوگیری شود. CORP زمانی به کار میرود که بخواهیم از یک منبع مطمئن شویم که فقط از سوی دامنههای خاصی قابل دسترسی است.
در ادامه یک نمونه کد برای پیادهسازی CORP را بررسی خواهیم کرد. این کد استفاده از هدر CORP را نشان میدهد که میتوانید در پاسخهای HTTP از آن استفاده کنید.
HTTP/1.1 200 OK
Cross-Origin-Resource-Policy: same-site
Content-Type: text/html
Content-Length: 305
این کد با استفاده از هدر Cross-Origin-Resource-Policy مشخص میکند که فقط منابعی از همان سایت اجازه دریافت دارند.
خط اول نشاندهنده وضعیت موفق پاسخ HTTP است.
خط دوم، هدر CORP را تعریف کرده و مشخص میکند که هیچ منبعی خارج از سایت نمیتواند این منبع را دریافت کند.
خط سوم نوع محتوای پاسخ HTTP را مشخص میکند که در اینجا HTML است.
خط چهارم طول محتوای پاسخ را در بایت مشخص میکند.