Timing-Allow-Origin и полевые метрики для сторонних ресурсов
Почему TTFB кросс-доменного API в поле часто «ноль», и как разрешить сбор таймингов безопасно.
Без заголовка `Timing-Allow-Origin` браузер скрывает детальные тайминги для ресурсов с другого origin, чтобы не допускать атак по побочным каналам.
Если CDN и API ваши, добавьте `Timing-Allow-Origin: https://ваш-домен` для измерения реального TTFB статики.
- Timing-Allow-Origin — MDN — Синтаксис и модель безопасности.
- Resource Timing — MDN — Доступ к метрикам в JS.
Практика
Не используйте `*` если ответы персонализированы или содержат куки.
Согласуйте заголовок с командой безопасности перед продакшеном.