Cross-Origin-Resource-Policy на статике
same-origin для шрифтов и JSON.
Заголовок `Cross-Origin-Resource-Policy: same-origin` на `/assets/*` запрещает встраивание статики чужими сайтами — дополнение к CORS, не замена.
Для публичных картинок в `<img>` на чужих сайтах используйте `cross-origin` или `same-site` по политике.
- Cross-Origin-Resource-Policy — MDN — CORP header.
- CORP — web.dev — Объяснение CORP.
COEP
Для cross-origin isolation нужна согласованная цепочка CORP + CORS — не включайте случайно на API JSON для embed.