Vérificateur de Politique Cross-Origin
Vérifiez les en-têtes Cross-Origin-Opener-Policy (COOP), Cross-Origin-Embedder-Policy (COEP) et Cross-Origin-Resource-Policy (CORP). Ces en-têtes permettent les fonctionnalités d'isolation du navigateur requises pour SharedArrayBuffer et les minuteurs haute résolution. Obtenez un score de sécurité et des conseils de configuration.
Comment utiliser Vérificateur de Politique Cross-Origin
- 1Entrez une URL pour vérifier les en-têtes d'isolation cross-origin.
- 2Les en-têtes COOP, COEP et CORP sont récupérés et analysés.
- 3Chaque valeur d'en-tête est expliquée avec les implications de sécurité.
- 4L'état d'isolation cross-origin et les recommandations sont affichés.
ZenovayAnalytics
Analytics sans aucun bandeau cookies.
- Suivi des visiteurs en temps réel
- Vie privée d'abord, sans bandeau cookies
- Installé en deux minutes
Outils connexes
Générateur de Mot de Passe
Générez des mots de passe forts et aléatoires avec longueur, caractères et complexité personnalisables.Vérificateur de Force de Mot de Passe
Vérifiez la force de votre mot de passe. Obtenez un temps de fissuration estimé et des suggestions d'amélioration.Générateur HMAC
Générez des signatures HMAC en utilisant SHA-256, SHA-384 ou SHA-512 avec l'API Web Crypto.Chiffrement/Déchiffrement AES
Chiffrez et déchiffrez du texte avec AES-GCM et la dérivation de clé PBKDF2. S'exécute entièrement dans votre navigateur.Questions fréquemment posées
Que sont les en-têtes COOP, COEP et CORP ?▾
Ces trois en-têtes fonctionnent ensemble pour activer l'isolation inter-origines dans les navigateurs : (1) Cross-Origin-Opener-Policy (COOP) — contrôle si votre page peut partager un groupe de contexte de navigation avec des fenêtres contextuelles inter-origines ; (2) Cross-Origin-Embedder-Policy (COEP) — exige que toutes les ressources chargées par votre page aient une autorisation inter-origines explicite ; (3) Cross-Origin-Resource-Policy (CORP) — contrôle qui peut charger une ressource spécifique. Ensemble, ils préviennent les attaques de canal latéral de type Spectre.
Qu'est-ce que l'isolation inter-origines et pourquoi en ai-je besoin ?▾
L'isolation inter-origines est un état de sécurité du navigateur qui active les minuteries haute résolution (performance.now()), SharedArrayBuffer et les threads WASM. Ces fonctionnalités ont été désactivées après la découverte de la vulnérabilité Spectre. Une page devient isolée inter-origines lorsqu'elle définit à la fois COOP: same-origin ET COEP: require-corp (ou credentialless).
Quelle est la différence entre require-corp et credentialless pour COEP ?▾
COEP: require-corp exige que chaque ressource inter-origines s'active explicitement via un en-tête CORS ou Cross-Origin-Resource-Policy. C'est strict mais peut casser des ressources tierces. COEP: credentialless (plus récent) charge les ressources inter-origines sans envoyer de credentials, permettant leur chargement sans en-têtes CORS/CORP mais supprimant leur contexte d'authentification.
Comment déployer COOP sans casser OAuth et SSO ?▾
Les flux OAuth utilisent des fenêtres popup qui doivent communiquer avec la fenêtre d'origine. Avec COOP: same-origin, cette communication via window.opener est bloquée. Solutions : (1) Utiliser COOP: same-origin-allow-popups comme étape intermédiaire. (2) Utiliser postMessage() à la place de window.opener pour la communication de rappel OAuth. (3) Vérifier que votre fournisseur OAuth définit aussi COOP sur son domaine.
À quoi sert Cross-Origin-Resource-Policy (CORP) ?▾
CORP empêche d'autres sites web d'intégrer vos ressources privées via <img>, <script> ou <iframe>. Sans CORP, n'importe quel site web peut charger votre image authentifiée et en déduire des informations (par exemple, si un utilisateur est connecté). Définissez CORP: same-origin sur les ressources de données utilisateur privées. Définissez CORP: cross-origin sur les ressources CDN publiques qui doivent être intégrées n'importe où.