Timing-Allow-Origin и полевые метрики для сторонних ресурсов

Почему TTFB кросс-доменного API в поле часто «ноль», и как разрешить сбор таймингов безопасно.

Без заголовка Timing-Allow-Origin браузер скрывает детальные тайминги для ресурсов с другого origin, чтобы не допускать атак по побочным каналам.

Если CDN и API ваши, добавьте Timing-Allow-Origin: https://ваш-домен для измерения реального TTFB статики.

- [Timing-Allow-Origin — MDN](https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Timing-Allow-Origin) — Синтаксис и модель безопасности.

- [Resource Timing — MDN](https://developer.mozilla.org/en-US/docs/Web/API/Resource_Timing_API/Using_the_Resource_Timing_API) — Доступ к метрикам в JS.

---

## Практика

Не используйте * если ответы персонализированы или содержат куки.

Согласуйте заголовок с командой безопасности перед продакшеном.

5 апреля 2028 г.
beforetoggle: хук жизненного цикла popover
4 апреля 2028 г.
createImageBitmap: превью файлов в форме брифа
3 апреля 2028 г.
replaceChildren(): безопасная перерисовка каталога
2 апреля 2028 г.
getAnimations(): пауза WAAPI при reduced motion

#мониторинг#HTTP#производительность

← Все новости Главная

Читайте также

beforetoggle: хук жизненного цикла popover

createImageBitmap: превью файлов в форме брифа

replaceChildren(): безопасная перерисовка каталога

getAnimations(): пауза WAAPI при reduced motion