研究发现网站是有关于AI(人工智能体)的响应头(Cross-Origin-Opener-Policy、Cross-Origin-Embedder-Policy、Cross-Origin-Resource-Policy、Origin-Agent-Cluster),其实就是权限使用的设定范畴,甚至涉及到安全性和可靠性的层面,而直接影响的就是AI式生成引擎的引用和推荐,关于这个问题是必须要准确操控。
我们可以查阅WebMCP文档就能得知不能把Origin-Agent-Cluster设定为?0(关闭)、而是要?1(开启),意思是关闭/开启隔离防护,如果设置?0、那么WebMCP就会停用,之所以要设定?1的原因就在于提高AI和网站进行交互时的安全性,这点在浏览器中尤为重要。
示例:add_header Origin-Agent-Cluster "?1" always;
这是个会涉及到AI平台显示网页的问题,但同时又存在Spectre攻击风险,实际上其作用是让浏览器把页面所在的浏览上下文(browsing context)和所有跨域页面的上下文完全隔离,意思是形成单独运作的进程,这就考验AI平台是否有相关技术的处理能力,但是主流都支持。
示例:add_header Cross-Origin-Opener-Policy "same-origin" always;
这个响应头指的是页面只允许加载‘明确授权了跨域使用’的外部资源,而任何没有授权的跨域资源是一律禁止加载,这会影响网站是否允许AI加载工具集以及资源调度,所以对于把网站转换为智能体就是个问题了,但是通常情况是需要严格的标准,也就是安全是首要的设定。
示例:add_header Cross-Origin-Embedder-Policy "require-corp" always;
这个响应头是直接解决了跨域在允许的范围内加载外部的资源,继承了Opener-Policy的权限下放的意思,如同允许AI加载和调度了,意思就是先是严格模式, 然后允许加载已经声明的外部资源,其实是有一整套的流程,甚至还涉及到Access-Control-Allow-Origin响应头。
示例:add_header Cross-Origin-Resource-Policy "cross-origin" always;
实际上content-security-policy是跨站脚本攻击(XSS)和数据注入的防护设置(内容安全策略),示例:add_header Content-Security-Policy "default-src 'self'; script-src 'self' 'nonce' 'strict-dynamic'; style-src 'self' 'unsafe-inline'; img-src 'self' data: https:; frame-ancestors 'none'; base-uri 'self'; form-action 'self';" always;。
所以content-security-policy属于是脚本数据类型的内容防护管控,而Cross-Origin-Opener-Policy、Cross-Origin-Embedder-Policy、Cross-Origin-Resource-Policy、Origin-Agent-Cluster属于是网络进程模型的权限管理,可以理解为前者会影响SEO,后者会影响AI及GEO,但是都有相互的作用影响,其实就是整套的响应头。
结语:注意必须要同时使用,而且要精细化的准确匹配,但是简易或是轻量化的网站就不太需要设定了,主要是功能型的网站要考虑关于AI响应头的使用方法。