Verificador de Política de Origem Cruzada
Verifique os cabeçalhos Cross-Origin-Opener-Policy (COOP), Cross-Origin-Embedder-Policy (COEP) e Cross-Origin-Resource-Policy (CORP). Estes cabeçalhos habilitam recursos de isolamento do navegador necessários para SharedArrayBuffer e temporizadores de alta resolução. Obtenha uma pontuação de segurança e orientações de configuração.
Como Usar Verificador de Política de Origem Cruzada
- 1Digite uma URL para verificar os cabeçalhos de isolamento de origem cruzada.
- 2Os cabeçalhos COOP, COEP e CORP são obtidos e analisados.
- 3Cada valor de cabeçalho é explicado com implicações de segurança.
- 4O status de isolamento de origem cruzada e recomendações são mostrados.
ZenovayAnalytics
Analytics sem nenhum banner de cookies.
- Acompanhamento de visitantes em tempo real
- Privacidade em primeiro lugar, sem banner de cookies
- Configurado em dois minutos
Ferramentas Relacionadas
Gerador de Senha
Gere senhas fortes e aleatórias com comprimento, caracteres e complexidade personalizáveis.Verificador de Força da Senha
Verifique o quão forte é sua senha. Obtenha um tempo estimado de quebra e sugestões de melhoria.Gerador HMAC
Gere assinaturas HMAC usando SHA-256, SHA-384 ou SHA-512 com a Web Crypto API.Criptografia/Descriptografia AES
Criptografe e descriptografe texto usando AES-GCM com derivação de chave PBKDF2. Executa totalmente no seu navegador.Perguntas Frequentes
O que são os cabeçalhos COOP, COEP e CORP?▾
Esses três cabeçalhos trabalham juntos para habilitar o isolamento de origem cruzada nos navegadores: (1) Cross-Origin-Opener-Policy (COOP) — controla se sua página pode compartilhar um grupo de contexto de navegação com popups de origem cruzada; (2) Cross-Origin-Embedder-Policy (COEP) — exige que todos os recursos carregados pela sua página tenham permissão explícita; (3) Cross-Origin-Resource-Policy (CORP) — controla quais origens podem carregar seus recursos.
O que é isolamento de origem cruzada e por que preciso dele?▾
O isolamento de origem cruzada é um estado de segurança do navegador que habilita temporizadores de alta resolução (performance.now()), SharedArrayBuffer e threads WASM. Esses foram desabilitados após a vulnerabilidade Spectre ser descoberta. Uma página se torna isolada de origem cruzada quando ambos COOP: same-origin e COEP: require-corp (ou credentialless) estão definidos.
Qual é a diferença entre require-corp e credentialless para COEP?▾
COEP: require-corp exige que cada recurso de origem cruzada opte explicitamente via um cabeçalho CORS ou Cross-Origin-Resource-Policy. Isso é rigoroso, mas pode causar quebras — recursos de terceiros que não têm esses cabeçalhos não serão carregados. COEP: credentialless (mais recente) carrega recursos de origem cruzada sem credenciais, sem exigir opt-in explícito.
Como implanto COOP sem quebrar OAuth e SSO?▾
Fluxos OAuth usam janelas popup que precisam se comunicar de volta com a janela de abertura. Com COOP: same-origin, essa comunicação via window.opener é bloqueada. Soluções: (1) Use COOP: same-origin-allow-popups como etapa intermediária. (2) Use postMessage() em vez de window.opener para comunicação de retorno OAuth. (3) Use o modo de redirecionamento OAuth em vez de popup.
Para que serve o Cross-Origin-Resource-Policy (CORP)?▾
CORP evita que outros sites incorporem seus recursos privados via <img>, <script> ou <iframe>. Sem CORP, qualquer site pode carregar sua imagem autenticada em yourapp.com/user/avatar.png e obter informações a partir disso (por exemplo, se um usuário está logado). Defina CORP: same-origin para recursos que apenas sua própria origem deve carregar.