Cross-origin isolation: COOP, COEP и SharedArrayBuffer

Заголовки для advanced API, почему ломаются embed и как тестировать window.crossOriginIsolated.

Cross-origin isolated context требует `Cross-Origin-Opener-Policy: same-origin` и `Cross-Origin-Embedder-Policy: require-corp` (или credentialless) — открывает SharedArrayBuffer и точные таймеры в некоторых сценариях.

Сторонние iframe и assets без CORP/CORS могут перестать загружаться — аудит embed обязателен.

Cross-origin isolation — MDN — Условия isolation.
Making your website cross-origin isolated — web.dev — Пошаговый гайд.

Практика

Включайте только если реально нужен SAB/WASM threads — иначе избегайте сложности.

Проверяйте `self.crossOriginIsolated` в консоли после деплоя заголовков.