怪しいCross-Originなリソース取得を検知するアルゴリズムで、Chromium系やSafariなどのWebブラウザにセキュリティ機構として組み込まれているもの。
(「怪しいCross-Originなリソース取得」として検知された結果、)
この機構が作動すると、取得されてたリソースは(
200 Success
&
レスポンスデータあり
であっても)JavaScirptからはあたかも空レスポンスだったかのように見えてしまう。
(= CORBを回避しない限りレスポンスデータを読めない、使えない、
予期せぬ情報漏えいからデータを保護できる
)
異なるOriginをまたいだ(Cross-Originな)リソース取得は、(様々な攻撃手段によって)予期せぬ情報漏えいなどの脅威につながる。
これらの脅威からユーザを保護するためのセキュリティ機構として、CORBが一部ブラウザに実装された。(その後
Fetch Standard
に取り込まれた。)
コンソール上に以下のwarnが出力される
Cross-Origin Read Blocking (CORB) blocked cross-origin response https://www.example.com/example.html with MIME type text/html. See https://www.chromestatus.com/feature/5629709824032768 for more details.
Chrome 66 以下の古いver.の場合
Blocked current origin from receiving cross-site document at https://www.example.com/example.html with MIME type text/html.
Cross-Origin Read Blocking (CORB)
Cross-Origin Read Blocking for Web Developers - The Chromium Projects
Fetch Standard #corb
Cross-Origin Read Blocking - Google 検索