Blockieren von Ladevorgängen anderer Hosts

Ein zentrales Konzept der Websicherheit ist die Same-Origin-Policy. Diese besagt, dass eine Webseite auf einem Hostnamen nicht die Inhalte eines anderen Hostnamens mittels Javascript auslesen kann. Ebenso blockiert die Same-Origin-Policy Zugriffe zwischen verschiedenen Ports und Protokollen. Das heißt: Eine bösartige Webseite kann den Inhalt eines gleichzeitig geöffneten Webmail-Systems nicht auslesen.

Stellenmarkt
  1. ERP-Berater (m/w/d)
    Sopra System GmbH, Ismaning
  2. Product Owner (m/w/d)
    STRABAG BRVZ GMBH & CO.KG, Stuttgart
Detailsuche

Trotz Same-Origin-Policy gibt es eine ganze Reihe von Interaktionen, die zwischen Webseiten auf verschiedenen Hostnamen möglich sind. Das einfachste Beispiel ist das Laden von Ressourcen wie Bildern, CSS-Dateien oder Javascript-Dateien.

Nehmen wir zwei Webseiten, die unter example.com und example.org betrieben werden. Wenn unter example.org/test.jpg ein Bild liegt, kann die Webseite example.com dieses Bild anzeigen lassen. Das Bild kann angezeigt werden, auf example.com laufender Javascript-Code darf es aber wegen der Same-Origin-Policy nicht auslesen. Denn es kann sich um ein Bild handeln, das nicht öffentlich abrufbar ist und nur nach einem Login angezeigt wird.

Da das Bild vom Browser auf example.com angezeigt wird, ist es fast zwangsweise so, dass der Inhalt des Bildes in demselben Browserprozess läuft wie der Javascript-Code von example.com. Läuft auf example.com ein Spectre-Exploit, könnte damit das Bild ausgelesen werden.

Golem Akademie
  1. IT-Sicherheit für Webentwickler
    2.-3. November 2021, online
  2. Netzwerktechnik Kompaktkurs
    8.-12. November 2021, online
  3. Webentwicklung mit React and Typescript
    6.-10. Dezember 2021, online
Weitere IT-Trainings

Hier setzt ein neuer Header namens Cross-Origin-Resource-Policy (abgekürzt CORP) an. Dieser verhindert, dass andere Webseiten die eigenen Ressourcen einbinden.

Setzt man den Header auf same-origin bedeutet dies, entsprechende Inhalte dürfen nur von der eigenen Origin eingebunden werden. Im oben erwähnten Beispiel kann example.org für alle Inhalte den Header Cross-Origin-Resource-Policy: same-origin setzen und damit verhindern, dass dort abgelegte Bilder auf example.com angezeigt werden. Analog dasselbe gilt für andere externe Ressourcen wie CSS- oder Javascript-Dateien.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Etwas laxer ist die Einstellung same-site, hier können Inhalte von anderen Subdomains derselben Hauptdomain eingebunden werden. Mit cross-origin erlaubt man explizit allen das Einbinden von Inhalten. Das explizite Erlauben ist die Standardeinstellung, sinnvoll wird diese Option in Kombination mit einem weiteren Feature.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 HTTP-Header: Webseiten vor Spectre schützenNur explizit erlaubte Inhalte mit COEP 
  1.  
  2. 1
  3. 2
  4. 3
  5. 4
  6. 5
  7.  


schnedan 01. Apr 2021

"Neuerdings werden ja sogar Spiele gestreamt" Jo, im schlimmsten Fall geht das dann halt...

negiup 01. Apr 2021

Teil der Übergangslösung ist das beschriebene Abschalten des SharedArrayBuffers und...

negiup 01. Apr 2021

Danke für den verständlichen Artikel! Für das Grundverständnis ist der sehr hilfreich...

heutger 31. Mär 2021

Ich verstehe nicht, wieso man nicht so etwas in den bestehenden mächtigen CSP Header...



Aktuell auf der Startseite von Golem.de
Pixel 6 (Pro)
Googles Tensor-SoC ist eine wilde Mischung

Viel Samsung, wenig Google: Der Chip kombiniert extreme Computational Photography mit einem kuriosen Design zugunsten der Akkulaufzeit.
Eine Analyse von Marc Sauter

Pixel 6 (Pro): Googles Tensor-SoC ist eine wilde Mischung
Artikel
  1. Krypto: Bitcoin steigt auf neues Allzeithoch
    Krypto
    Bitcoin steigt auf neues Allzeithoch

    Der Wert vom April 2021 ist übertroffen: Der Bitcoin steigt zwischenzeitlich auf über 66.000 US-Dollar.

  2. Nintendo Switch: Deutscher Jugendschutz sperrt Dying Light in Australien
    Nintendo Switch
    Deutscher Jugendschutz sperrt Dying Light in Australien

    Das frisch für die Switch veröffentlichte Dying Light ist in Europa und in Australien nicht erhältlich - wegen des deutschen Jugendschutzes.

  3. Samsung: Galaxy Z Flip 3 kann konfiguriert werden
    Samsung
    Galaxy Z Flip 3 kann konfiguriert werden

    Samsung bietet das Falt-Smartphone Galaxy Z Flip 3 künftig auch in der Bespoke-Edition an - also in konfigurierbaren Farbkombinationen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Cyber Week Finale: Bis 33% auf Digitus-Monitorhalterungen & bis 36 Prozent auf EVGA-Netzteile • Samsung-Monitore (u. a. 24" FHD 144Hz 169€) • Bosch Professional zu Bestpreisen • Sandisk Ultra 3D 500GB 47,99€ • Google Pixel 6 vorbestellbar ab 649€ + Bose Headphones als Geschenk [Werbung]
    •  /