Timing-Allow-Origin и полевые метрики для сторонних ресурсов

Без заголовка Timing-Allow-Origin браузер скрывает детальные тайминги для ресурсов с другого origin, чтобы не допускать атак по побочным каналам.

Если CDN и API ваши, добавьте Timing-Allow-Origin: https://ваш-домен для измерения реального TTFB статики.

- [Timing-Allow-Origin — MDN](https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Timing-Allow-Origin) — Синтаксис и модель безопасности.

- [Resource Timing — MDN](https://developer.mozilla.org/en-US/docs/Web/API/Resource_Timing_API/Using_the_Resource_Timing_API) — Доступ к метрикам в JS.

---

## Практика

Не используйте * если ответы персонализированы или содержат куки.

Согласуйте заголовок с командой безопасности перед продакшеном.