Cross-Origin Security Policies
==============================

Deze applicatie maakt gebruik van Cross-Origin-Embedder-Policy (COEP: require-corp), maar de externe resources (afbeeldingen en stylesheets) worden geladen onder CORS (met cross-origin-attributen). Dat betekent dat die externe resources de juiste Access-Control-Allow-Origin-header moeten bevatten.

Alleen moet vanwege COEP voor het favicon ook de Cross-Origin-Resource-Policy-header gezet worden, omdat sommige browsers bij `<link rel=icon crossorigin>` het cross-origin-attribuut negeren en de resource geladen wordt in zogenaamde `no-cors` mode.


Headers
-------

Voor alle externe resources moet `Access-Control-Allow-Origin: *` of bijvoorbeeld `Access-Control-Allow-Origin: *.mijn-gemeente.nl` ingesteld worden.

En voor het favicon naast de CORS-header ook CORP-header `Cross-Origin-Resource-Policy: cross-origin` instellen.

Als een resource niet correct is geconfigureerd, zal deze niet geladen worden door de browser. **Let op:** met uitzondering van de geconfigureerde Web fonts kunnen geconfigureerde externe resources geen verwijzingen bevatten naar andere externe resources of data URIs.