Cross-origin isolated context требует Cross-Origin-Opener-Policy: same-origin и Cross-Origin-Embedder-Policy: require-corp (или credentialless) — открывает SharedArrayBuffer и точные таймеры в некоторых сценариях.
Сторонние iframe и assets без CORP/CORS могут перестать загружаться — аудит embed обязателен.
- [Cross-origin isolation — MDN](https://developer.mozilla.org/en-US/docs/Web/API/crossOriginIsolated) — Условия isolation.
- [Making your website cross-origin isolated — web.dev](https://web.dev/articles/cross-origin-isolation-guide) — Пошаговый гайд.
---
## Практика
Включайте только если реально нужен SAB/WASM threads — иначе избегайте сложности.
Проверяйте self.crossOriginIsolated в консоли после деплоя заголовков.