• IT-Karriere:
  • Services:

Nur explizit erlaubte Inhalte mit COEP

Das Gegenstück zu Cross-Origin-Resource-Policy ist der Header Cross-Origin-Embedder-Policy (abgekürzt COEP). Damit kann festgelegt werden, dass eine Webseite nur solche Inhalte von anderen Webseiten einbindet, die dies explizit erlauben. Der Header kann den Wert require-corp enthalten, damit dürfen nur Inhalte von anderen Origins eingebunden werden, die ihrerseits via CORP das Laden gestatten. Die andere mögliche Einstellung ist unsafe-none, was dem bisherigen Standard entspricht.

Stellenmarkt
  1. Stadt Köln, Köln
  2. Hays AG, Stuttgart

Betrachten wir wieder ein Beispiel: Die Webseite example.com setzt den Header Cross-Origin-Embedder-Policy und versucht anschließend, ein Bild von example.org einzubinden. Solange example.org keine besonderen Header setzt, die das Einbinden explizit erlauben, wird der Ladevorgang blockiert.

Damit der Ladevorgang funktioniert, muss die Seite example.org explizit das Einbinden ihrer Bilder erlauben. Dafür sorgt der Header Cross-Origin-Resource-Policy: cross-origin. Nun kann example.com erfolgreich Bilder von example.org einbinden.

Eine Variante, das Laden zu erlauben, ist der Mechanismus Cross-Origin-Resource-Sharing (CORS) mit dem Header Access-Control-Allow-Origin. Dafür muss man beim Laden im entsprechenden HTML-Tag das Attribut crossorigin angeben. CORS gibt es schon länger und soll hier nicht im Detail erklärt werden. Der Vorteil dieser Methode ist, dass viele Webseiten CORS bereits unterstützen.

Interaktion zwischen öffnenden und geöffneten Fenstern blockieren

Golem Akademie
  1. IT-Sicherheit für Webentwickler
    31. Mai - 1. Juni 2021, online
  2. OpenShift Installation & Administration
    14.-16. Juni 2021, online
Weitere IT-Trainings

Eine weitere Situation, in der Webseiten trotz Same-Origin-Policy eingeschränkt miteinander interagieren können, sind Popups. Öffnet eine Seite ein Popup einer anderen Webseite, kann die öffnende Webseite auf das Seitenobjekt zugreifen. Damit kann beispielsweise das Popup nach einiger Zeit auf eine andere Webseite weitergeleitet werden.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Ähnliches funktioniert in die andere Richtung. Eine in einem Popup geöffnete Webseite kann mittels Javascript auf das Objekt window.opener zugreifen und den öffnenden Browsertab auf eine andere Webseite weiterleiten. Über diese Zugriffe auf das Fenster-Objekt sind Seitenkanalangriffe möglich, die als XSLeaks bekannt sind.

Solche Interaktionen zwischen öffnenden und geöffneten Fenstern hinweg werden nur selten benötigt. Mit dem Header Cross-Origin-Opener-Policy lässt sich dies unterbinden. Diese kann auf den Wert same-origin gesetzt werden.

Neben diesen drei neuen Headern gibt es noch weitere, bereits länger unterstützte Header, die in Sachen Seitenisolierung sinnvoll sind.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Blockieren von Ladevorgängen anderer HostsContent-Sniffing abschalten ist generell empfehlenswert 
  1.  
  2. 1
  3. 2
  4. 3
  5. 4
  6. 5
  7.  


Anzeige
Top-Angebote
  1. 105€ (Bestpreis)
  2. (u. a. LG OLED55CX9LA 120Hz für 1.359€, Samsung Galaxy A51 128GB für 245€)

schnedan 01. Apr 2021 / Themenstart

"Neuerdings werden ja sogar Spiele gestreamt" Jo, im schlimmsten Fall geht das dann halt...

negiup 01. Apr 2021 / Themenstart

Teil der Übergangslösung ist das beschriebene Abschalten des SharedArrayBuffers und...

negiup 01. Apr 2021 / Themenstart

Danke für den verständlichen Artikel! Für das Grundverständnis ist der sehr hilfreich...

heutger 31. Mär 2021 / Themenstart

Ich verstehe nicht, wieso man nicht so etwas in den bestehenden mächtigen CSP Header...

Kommentieren


Folgen Sie uns
       


Zoom Escaper ausprobiert

Der Zoom Escaper ist eine Möglichkeit, sich aus Videokonferenzen zu schummeln. Wir haben ihn ausprobiert.

Zoom Escaper ausprobiert Video aufrufen
Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme

      •  /