網站要注意設定關於AI響應頭的權限範圍
研究發現網站是有關於AI(人工智能體)的響應頭(Cross-Origin-Opener-Policy、Cross-Origin-Embedder-Policy、Cross-Origin-Resource-Policy、Origin-Agent-Cluster),其實就是權限使用的設定範疇,甚至涉及到安全性和可靠性的層面,而直接影響的就是AI式生成引擎的引用和推薦,關於這個問題是必須要準確操控。
WebMCP已經明確說明Origin-Agent-Cluster的問題
我們可以查閱WebMCP文檔就能得知不能把Origin-Agent-Cluster設定為?0(關閉)、而是要?1(開啟),意思是關閉/開啟隔離防護,如果設置?0、那麼WebMCP就會停用,之所以要設定?1的原因就在於提高AI和網站進行交互時的安全性,這點在瀏覽器中尤為重要。
示例:add_header Origin-Agent-Cluster "?1" always;
Cross-Origin-Opener-Policy關係到跨域窗口的問題
這是個會涉及到AI平臺顯示網頁的問題,但同時又存在Spectre攻擊風險,實際上其作用是讓瀏覽器把頁面所在的瀏覽上下文(browsing context)和所有跨域頁面的上下文完全隔離,意思是形成單獨運作的進程,這就考驗AI平臺是否有相關技術的處理能力,但是主流都支持。
示例:add_header Cross-Origin-Opener-Policy "same-origin" always;
Cross-Origin-Embedder-Policy影響跨域權限的問題
這個響應頭指的是頁面只允許加載‘明確授權了跨域使用’的外部資源,而任何沒有授權的跨域資源是一律禁止加載,這會影響網站是否允許AI加載工具集以及資源調度,所以對於把網站轉換為智能體就是個問題了,但是通常情況是需要嚴格的標準,也就是安全是首要的設定。
示例:add_header Cross-Origin-Embedder-Policy "require-corp" always;
Cross-Origin-Resource-Policy涉及到跨域資源的問題
這個響應頭是直接解決了跨域在允許的範圍內加載外部的資源,繼承了Opener-Policy的權限下放的意思,如同允許AI加載和調度了,意思就是先是嚴格模式, 然後允許加載已經聲明的外部資源,其實是有一整套的流程,甚至還涉及到Access-Control-Allow-Origin響應頭。
示例:add_header Cross-Origin-Resource-Policy "cross-origin" always;
你是否有疑惑,那content-security-policy呢?
實際上content-security-policy是跨站腳本攻擊(XSS)和數據注入的防護設置(內容安全策略),示例:add_header Content-Security-Policy "default-src 'self'; script-src 'self' 'nonce' 'strict-dynamic'; style-src 'self' 'unsafe-inline'; img-src 'self' data: https:; frame-ancestors 'none'; base-uri 'self'; form-action 'self';" always;。
所以content-security-policy屬於是腳本數據類型的內容防護管控,而Cross-Origin-Opener-Policy、Cross-Origin-Embedder-Policy、Cross-Origin-Resource-Policy、Origin-Agent-Cluster屬於是網絡進程模型的權限管理,可以理解為前者會影響SEO,後者會影響AI及GEO,但是都有相互的作用影響,其實就是整套的響應頭。
結語:注意必須要同時使用,而且要精細化的準確匹配,但是簡易或是輕量化的網站就不太需要設定了,主要是功能型的網站要考慮關於AI響應頭的使用方法。