Nur explizit erlaubte Inhalte mit COEP

Das Gegenstück zu Cross-Origin-Resource-Policy ist der Header Cross-Origin-Embedder-Policy (abgekürzt COEP). Damit kann festgelegt werden, dass eine Webseite nur solche Inhalte von anderen Webseiten einbindet, die dies explizit erlauben. Der Header kann den Wert require-corp enthalten, damit dürfen nur Inhalte von anderen Origins eingebunden werden, die ihrerseits via CORP das Laden gestatten. Die andere mögliche Einstellung ist unsafe-none, was dem bisherigen Standard entspricht.

Stellenmarkt
  1. Java-Entwickler (w/m/d) After Sales
    SSI SCHÄFER Automation GmbH, Giebelstadt, Dortmund, Münster
  2. Solution Designer - Identity und Access-Management (IAM) (m/w/d)
    Stadtwerke München GmbH, München
Detailsuche

Betrachten wir wieder ein Beispiel: Die Webseite example.com setzt den Header Cross-Origin-Embedder-Policy und versucht anschließend, ein Bild von example.org einzubinden. Solange example.org keine besonderen Header setzt, die das Einbinden explizit erlauben, wird der Ladevorgang blockiert.

Damit der Ladevorgang funktioniert, muss die Seite example.org explizit das Einbinden ihrer Bilder erlauben. Dafür sorgt der Header Cross-Origin-Resource-Policy: cross-origin. Nun kann example.com erfolgreich Bilder von example.org einbinden.

Eine Variante, das Laden zu erlauben, ist der Mechanismus Cross-Origin-Resource-Sharing (CORS) mit dem Header Access-Control-Allow-Origin. Dafür muss man beim Laden im entsprechenden HTML-Tag das Attribut crossorigin angeben. CORS gibt es schon länger und soll hier nicht im Detail erklärt werden. Der Vorteil dieser Methode ist, dass viele Webseiten CORS bereits unterstützen.

Interaktion zwischen öffnenden und geöffneten Fenstern blockieren

Golem Akademie
  1. PowerShell Praxisworkshop: virtueller Vier-Tage-Workshop
    20.–23. Dezember 2021, virtuell
  2. Advanced Python – Fortgeschrittene Programmierthemen: virtueller Zwei-Tage-Workshop
    27.–28. Januar 2022, Virtuell
Weitere IT-Trainings

Eine weitere Situation, in der Webseiten trotz Same-Origin-Policy eingeschränkt miteinander interagieren können, sind Popups. Öffnet eine Seite ein Popup einer anderen Webseite, kann die öffnende Webseite auf das Seitenobjekt zugreifen. Damit kann beispielsweise das Popup nach einiger Zeit auf eine andere Webseite weitergeleitet werden.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Ähnliches funktioniert in die andere Richtung. Eine in einem Popup geöffnete Webseite kann mittels Javascript auf das Objekt window.opener zugreifen und den öffnenden Browsertab auf eine andere Webseite weiterleiten. Über diese Zugriffe auf das Fenster-Objekt sind Seitenkanalangriffe möglich, die als XSLeaks bekannt sind.

Solche Interaktionen zwischen öffnenden und geöffneten Fenstern hinweg werden nur selten benötigt. Mit dem Header Cross-Origin-Opener-Policy lässt sich dies unterbinden. Diese kann auf den Wert same-origin gesetzt werden.

Neben diesen drei neuen Headern gibt es noch weitere, bereits länger unterstützte Header, die in Sachen Seitenisolierung sinnvoll sind.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Blockieren von Ladevorgängen anderer HostsContent-Sniffing abschalten ist generell empfehlenswert 
  1.  
  2. 1
  3. 2
  4. 3
  5. 4
  6. 5
  7.  


schnedan 01. Apr 2021

"Neuerdings werden ja sogar Spiele gestreamt" Jo, im schlimmsten Fall geht das dann halt...

negiup 01. Apr 2021

Teil der Übergangslösung ist das beschriebene Abschalten des SharedArrayBuffers und...

negiup 01. Apr 2021

Danke für den verständlichen Artikel! Für das Grundverständnis ist der sehr hilfreich...

heutger 31. Mär 2021

Ich verstehe nicht, wieso man nicht so etwas in den bestehenden mächtigen CSP Header...



Aktuell auf der Startseite von Golem.de
OneXPlayer 1S im Test
Die Über-Switch

Mit schnellem Prozessor, viel RAM und integrierter Intel-GPU soll der OneXPlayer zum stärksten Spiele-Handheld werden. Das klappt zumindest teilweise.
Ein Test von Martin Wolf

OneXPlayer 1S im Test: Die Über-Switch
Artikel
  1. Edge-Browser: Microsoft will Installation von Chrome verhindern
    Edge-Browser
    Microsoft will Installation von Chrome verhindern

    Microsoft intensiviert sein Vorgehen gegen andere Browser: Vor der Installation von Chrome wird Edge übertrieben gelobt.

  2. Lieferdienst: Gorillas wollen Anhebung des Mindestlohns zuvorkommen
    Lieferdienst
    Gorillas wollen Anhebung des Mindestlohns zuvorkommen

    Die selbstständigen Streiks bei Gorillas zeigen Wirkung. Gegen den neuen Betriebsrat will die Geschäftsführung eventuell weiter gerichtlich vorgehen.

  3. Ikea Åskväder: Modulare Steckdosenleiste startet in Deutschland
    Ikea Åskväder
    Modulare Steckdosenleiste startet in Deutschland

    Die modulare Steckdosenleiste von Ikea ermöglicht viele Anpassungen und wird erstmals auf der Ikea-Webseite gelistet.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Saturn-Advent: Toshiba Canvio 6TB 88€ • KFA2 Geforce RTX 3070 OC 8GB 1.019€ • Netgear günstiger (u. a. 5-Port-Switch 16,89€) • Norton 360 Deluxe 2022 18,99€ • Gaming-Monitore zu Bestpreisen (u. a. Samsung G3 27" FHD 144Hz 219€) • Spiele günstiger (u. a. Hades PS5 15,99€) [Werbung]
    •  /