HTTP Headers: Cross-Origin-Opener-Policy (COOP)
HTTP Headers: Cross-Origin-Opener-Policy (COOP)
Wie Sie die Cross-Origin-Opener-Policy einsetzen
Der Cross-Origin-Opener-Policy-Response-Header wird verwendet, um einen bestimmten Dokumentenprozess zu isolieren und zu verhindern, dass andere darauf zugreifen können, wenn er in einem Popup-Fenster geöffnet wird. Durch die Isolierung des entsprechenden Prozesses werden bestimmte Arten von Cross-Origin-Angriffen verhindert, die die Netzwerksicherheit und den Datenschutz gefährden könnten.
COOP wird Ihr Dokument prozessisoliert und potenzielle Angreifer können nicht auf Ihr globales Objekt zugreifen, wenn sie es in einem Popup öffnen, was eine Reihe von Cross-Origin-Angriffen verhindert, die als XS-Leaks bezeichnet werden.
Wenn ein Cross-Origin-Dokument mit COOP in einem neuen Fenster geöffnet wird, hat das öffnende Dokument keinen Bezug dazu, und die Eigenschaft window.opener des neuen Fensters wird null sein. Dies ermöglicht es Ihnen, mehr Kontrolle über Bezugnahmen auf ein Fenster zu haben als rel=noopener, das nur ausgehende Navigationen betrifft.
Praktische Anwendung:
Webanwendungen setzen eine Cross-Origin-Open-Richtlinie über den HTTP-Antwort-Header „Cross-Origin-Open-Policy“ fest, der eine von drei Werten akzeptiert:
unsafe-none
Dies ist der Standardwert. Ermöglicht es, das Dokument zur Browsing-Kontextgruppe seines Öffners hinzuzufügen, es sei denn, der Öffner selbst hat eine COOP von same-origin oder same-origin-allow-popups.
same-origin-allow-popups
Das Setzen der Direktive same-origin-allow-popups signalisiert dem Client, Bezugnahmen zu neu geöffneten Fenstern beizubehalten, vorausgesetzt, sie setzen keinen HTTP Cross-Origin-Opener-Policy-Header oder lehnen die Prozessisolierung ab, indem sie die Direktive unsafe-none setzen.
same-origin
Isoliert den Browsing-Kontext ausschließlich für Dokumente desselben Ursprungs. Dokumente mit unterschiedlichem Ursprung werden nicht im selben Browsing-Kontext geladen.
header('Cross-Origin-Open-Policy: unsafe-none');
Was sind XS-Leaks (Cross-Site Leaks) und Spectre?
XS-Leaks (Cross-Site Leaks) und Spectre sind moderne Sicherheitslücken, die in der Webentwicklung und Informationssicherheit Bedeutung erlangt haben. Beide stellen ernsthafte Risiken für Webanwendungen und -infrastrukturen dar, obwohl sie auf unterschiedliche Weisen agieren.
Diese beiden Themen sind in der Sicherheitsgemeinschaft hochaktuell, und es wird kontinuierlich an Abwehrmaßnahmen und Patches gearbeitet, um die damit verbundenen Risiken zu minimieren.
Angriffsbeispiele:
- Bei XS-Leaks könnte ein Angreifer den Status eines eingeloggten Benutzers auf einer anderen Webseite überprüfen, indem er den Zeitpunkt misst, zu dem eine bestimmte Ressource von der Ziel-Webseite geladen wird.
- Ein Spectre-Angriff könnte von einer bösartigen Webseite aus ausgeführt werden, die ein Skript verwendet, das in der Lage ist, die CPU dazu zu bringen, vertrauliche Daten aus anderen geöffneten Browser-Tabs auszulesen.
Website–Check
Ein einfacher Prozess, der Ihnen hilft:
- Die Datenschutzerklärung 100% abmahnsicher verfassen.
- Sicherstellen, dass nur notwendige Cookies verwendet werden.
- Überprüfen, ob notwendige Sicherheitsbestimmungen konform sind.
- Für einen sorgenfreien Internet-Auftritt Ihres Unternehmens.
Ihre Daten werden ausschließlich zur Kontaktaufnahme im Rahmen unserer Datenschutzerklärung verarbeitet.