Cross-Origin Embedder Policy

Cross-Origin Embedder Policy（COEP）は、ウェブページがクロスオリジンのリソース（画像、スクリプト、iframeなど）を埋め込む際のポリシーを制御するためのHTTPセキュリティヘッダーです。このポリシーを設定することで、ウェブページは、明示的に許可されたクロスオリジンリソースのみを埋め込むことができ、潜在的なセキュリティリスクを低減します。COEPは、COOPと組み合わせて「クロスオリジン分離」を有効にするために使用されます。FROST攻撃では、攻撃者がCOOPおよびCOEPのヘッダーを適切に設定してクロスオリジン分離を有効化することで、JavaScriptから高精度な時間計測用API（performance.now()）にアクセスする権利を獲得し、ミリ秒以下の微小な遅延を正確に記録しています。