Cross-Origin Read Blocking是一种判断是否要在跨站资源数据到达页面之前阻断其到达当前站点进程中的算法,降低了敏感数据暴露的风险;
CORB 启动时,虽然响应结果会被置空,但是请求的服务仍然成功,`status: 200`。
比如:使用 `img` 标签上报页面监控数据,尽管响应结果为空,但请求依旧发送成功,服务器亦正常响应。
在某些情况下,没有实现 Site Isolution 的普通浏览器会出现一个进程里面同时运行多个站点的代码,
这就让恶意站点有机可乘。比如恶意站点 a.com 在自己的代码中嵌入 <iframesrc="https://b.com"></iframe>,
这时,普通浏览器就会把带有恶意站点 a.com 的恶意代码 和 b.com 放在同一个内存中运行。
站点隔离保证了不同站点页面始终被放入不同的进程,每个进程运行在一个有限制的沙箱环境中,
在该环境中可能会阻止进程接收其它站点返回的某些特殊类型敏感信息,恶意站点不再和正常站点共享进程,
这就让恶意站点窃取其它站点的信息变得更加困难。从 Chrome 67 开始,已默认启用 Site Isolation。