crossorigin на img и link: CORS для canvas и шрифтов
anonymous vs use-credentials и tainted canvas.
Атрибут `crossorigin` на `<img>` и `link rel="preload" as="font"` включает CORS-запрос — без него изображение с CDN нельзя прочитать в canvas, а шрифт не попадёт в общий cache pool.
Обычно `crossorigin="anonymous"` при том же origin policy на CDN.
- crossorigin — MDN — anonymous и use-credentials.
- CORS enabled image — MDN — Canvas и img.
Шрифты
Preload WOFF2 с CORS должен совпадать с `@font-face` — иначе двойная загрузка.