Hier finden Sie weitere Informationen zu Headern, die Ihre Website schützen können, und können schnell die wichtigsten Details nachschlagen.
In diesem Artikel werden die wichtigsten Sicherheitsheader aufgeführt, die Sie zum Schutz Ihrer Website verwenden können. Sie können es verwenden, um mehr über webbasierte Sicherheitsfunktionen zu erfahren, zu lernen, wie Sie sie auf Ihrer Website implementieren, und als Referenz, wenn Sie eine Erinnerung benötigen.
- Für Websites, auf denen vertrauliche Nutzerdaten verarbeitet werden, werden die folgenden Sicherheitsheader empfohlen:
- Content Security Policy (CSP)
- Trusted Types
- Für alle Websites empfohlene Sicherheitsheader:
- X-Content-Type-Options
- X-Frame-Options
- Cross-Origin Resource Policy (CORP)
- Cross-Origin Opener Policy (COOP)
- HTTP Strict Transport Security (HSTS)
- Sicherheitsheader für Websites mit erweiterten Funktionen:
- Cross-Origin Resource Sharing (CORS)
- Cross-Origin Embedder Policy (COEP)
Bevor Sie sich mit Sicherheitsheadern befassen, sollten Sie sich über bekannte Bedrohungen im Web und die Gründe für die Verwendung dieser Sicherheitsheader informieren.
Website vor Injection-Sicherheitslücken schützen
Sicherheitslücken durch Einschleusung entstehen, wenn nicht vertrauenswürdige Daten, die von Ihrer Anwendung verarbeitet werden, ihr Verhalten beeinflussen können und in der Regel zur Ausführung von von Angreifern kontrollierten Skripts führen. Die häufigste Sicherheitslücke, die durch Injection-Bugs verursacht wird, ist Cross-Site-Scripting (XSS) in seinen verschiedenen Formen, einschließlich Reflected XSS, Stored XSS, DOM-based XSS und anderen Varianten.
Eine XSS-Sicherheitslücke kann einem Angreifer in der Regel vollständigen Zugriff auf Nutzerdaten geben, die von der Anwendung verarbeitet werden, sowie auf alle anderen Informationen, die im selben Webursprung gehostet werden.
Zu den herkömmlichen Schutzmaßnahmen gegen Injections gehören die konsequente Verwendung von HTML-Vorlagensystemen mit automatischer Escapierung, das Vermeiden der Verwendung gefährlicher JavaScript-APIs und die ordnungsgemäße Verarbeitung von Nutzerdaten durch Hosten von Datei-Uploads in einer separaten Domain und Bereinigen von nutzergesteuertem HTML.
- Verwenden Sie die Content Security Policy (CSP), um zu steuern, welche Scripts von Ihrer Anwendung ausgeführt werden können, um das Risiko von Injections zu minimieren.
- Verwenden Sie Trusted Types, um die Bereinigung von Daten zu erzwingen, die an gefährliche JavaScript-APIs übergeben werden.
- Verwenden Sie X-Content-Type-Options, um zu verhindern, dass der Browser die MIME-Typen der Ressourcen Ihrer Website falsch interpretiert, was zur Ausführung von Scripts führen kann.
Website von anderen Websites isolieren
Die Offenheit des Webs ermöglicht es Websites, auf eine Weise miteinander zu interagieren, die die Sicherheitserwartungen einer Anwendung verletzen kann. Dazu gehört auch, dass unerwartet authentifizierte Anfragen gestellt oder Daten aus einer anderen Anwendung in das Dokument des Angreifers eingebettet werden, wodurch der Angreifer Anwendungsdaten ändern oder lesen kann.
Häufige Sicherheitslücken, die die Webisolation untergraben, sind Clickjacking, Cross-Site-Request-Forgery (CSRF), Cross-Site-Script-Inclusion (XSSI) und verschiedene Cross-Site-Leaks.
- Verwenden Sie X-Frame-Options, um zu verhindern, dass Ihre Dokumente in eine bösartige Website eingebettet werden.
- Verwenden Sie die Cross-Origin Resource Policy (CORP), um zu verhindern, dass die Ressourcen Ihrer Website von einer ursprungsübergreifenden Website eingebunden werden.
- Verwenden Sie die Cross-Origin Opener Policy (COOP), um die Fenster Ihrer Website vor Interaktionen durch schädliche Websites zu schützen.
- Mit Cross-Origin Resource Sharing (CORS) können Sie den Zugriff auf die Ressourcen Ihrer Website über ursprungsübergreifende Dokumente steuern.
Der Artikel Post-Spectre Web Development ist eine gute Lektüre, wenn Sie sich für diese Header interessieren.
Leistungsstarke Websites sicher erstellen
Bei Spectre können alle Daten, die in dieselbe Browsing Context Group geladen werden, trotz der Same-Origin-Policy möglicherweise gelesen werden. Browser schränken Funktionen ein, die möglicherweise die Sicherheitslücke hinter einer speziellen Umgebung namens Cross-Origin Isolation ausnutzen könnten. Mit der ursprungsübergreifenden Isolation können Sie leistungsstarke Funktionen wie SharedArrayBuffer verwenden.
- Verwenden Sie die Cross-Origin-Embedder-Policy (COEP) zusammen mit COOP, um die ursprungsübergreifende Isolation zu aktivieren.
Traffic auf Ihrer Website verschlüsseln
Verschlüsselungsprobleme treten auf, wenn eine Anwendung Daten während der Übertragung nicht vollständig verschlüsselt. So können Angreifer, die die Kommunikation abhören, Informationen über die Interaktionen des Nutzers mit der Anwendung erhalten.
Eine unzureichende Verschlüsselung kann in den folgenden Fällen auftreten: keine Verwendung von HTTPS, gemischte Inhalte, Setzen von Cookies ohne das Secure-Attribut (oder das __Secure-Präfix) oder nachlässige CORS-Validierungslogik.
- Verwenden Sie HTTP Strict Transport Security (HSTS), um Ihre Inhalte immer über HTTPS bereitzustellen.
Content Security Policy (CSP)
Cross-Site-Scripting (XSS) ist ein Angriff, bei dem eine Sicherheitslücke auf einer Website es ermöglicht, ein schädliches Skript einzufügen und auszuführen.
Content-Security-Policy bietet eine zusätzliche Ebene zur Eindämmung von XSS-Angriffen, indem eingeschränkt wird, welche Skripts auf der Seite ausgeführt werden können.
Wir empfehlen, die strikte CSP mit einer der folgenden Methoden zu aktivieren:
- Wenn Sie Ihre HTML-Seiten auf dem Server rendern, verwenden Sie eine strikte CSP, die auf Nonce-Werten beruht.
- Wenn Ihr HTML statisch bereitgestellt oder im Cache gespeichert werden muss, z. B. bei einer Single-Page-Anwendung, verwenden Sie eine hashbasierte strikte CSP.
Beispiel für die Verwendung: nonce-basiertes CSP
Content-Security-Policy:
script-src 'nonce-{RANDOM1}' 'strict-dynamic' https: 'unsafe-inline';
object-src 'none';
base-uri 'none';
Empfohlene Verwendung
1. Strikte CSP auf Nonce-Basis verwenden {: #nonce-based-csp}
Wenn Sie Ihre HTML-Seiten auf dem Server rendern, verwenden Sie eine strikte CSP, die auf Nonce-Werten beruht.
Generieren Sie für jede Anfrage serverseitig einen neuen Script-Nonce-Wert und legen Sie den folgenden Header fest:
Serverkonfigurationsdatei
Content-Security-Policy: script-src 'nonce-{RANDOM1}' 'strict-dynamic' https: 'unsafe-inline'; object-src 'none'; base-uri 'none';
Legen Sie in HTML das nonce-Attribut aller <script>-Tags auf denselben {RANDOM1}-String fest, um die Skripts zu laden.
index.html
<script nonce="{RANDOM1}" src="https://example.com/script1.js"></script>
<script nonce="{RANDOM1}">
// Inline scripts can be used with the <code>nonce</code> attribute.
</script>Google Fotos ist ein gutes Beispiel für eine strikte CSP, die auf Nonce-Werten beruht. Verwenden Sie die Entwicklertools, um zu sehen, wie sie verwendet wird.
2. Hashbasierte strenge CSP verwenden {: #hash-based-csp}
Wenn Ihr HTML-Code statisch bereitgestellt oder im Cache gespeichert werden muss, z. B. wenn Sie eine Single-Page-Anwendung erstellen, verwenden Sie eine hashbasierte strikte CSP.
Serverkonfigurationsdatei
Content-Security-Policy: script-src 'sha256-{HASH1}' 'sha256-{HASH2}' 'strict-dynamic' https: 'unsafe-inline'; object-src 'none'; base-uri 'none';
In HTML müssen Sie Ihre Skripts inline einfügen, um eine hashbasierte Richtlinie anzuwenden, da die meisten Browser das Hashen externer Skripts nicht unterstützen.
index.html
<script> ...// your script1, inlined </script> <script> ...// your script2, inlined </script>
Informationen zum Laden externer Skripts finden Sie im Abschnitt Option B: Hashbasierter CSP-Antwortheader unter „Quellskripts dynamisch laden“.
CSP Evaluator ist ein gutes Tool, um Ihre CSP zu bewerten, und gleichzeitig ein gutes Beispiel für eine nonce-basierte strikte CSP. Verwenden Sie die Entwicklertools, um zu sehen, wie sie verwendet wird.
Unterstützte Browser
Weitere Hinweise zu CSP
frame-ancestorsschützt Ihre Website vor Clickjacking. Dieses Risiko entsteht, wenn Sie nicht vertrauenswürdigen Websites erlauben, Ihre Website einzubetten. Wenn Sie eine einfachere Lösung bevorzugen, können SieX-Frame-Optionsverwenden, um das Laden zu blockieren. Mitframe-ancestorshaben Sie jedoch eine erweiterte Konfiguration, mit der Sie nur bestimmte Ursprünge als Einbettungen zulassen können.- Möglicherweise haben Sie einen CSP verwendet, um sicherzustellen, dass alle Ressourcen Ihrer Website über HTTPS geladen werden. Das ist weniger relevant geworden, da die meisten Browser heutzutage Mixed Content blockieren.
- Sie können auch einen CSP im Modus „Nur Bericht“ festlegen.
- Wenn Sie serverseitig keine CSP als Header festlegen können, können Sie sie auch als Meta-Tag festlegen. Der Nur-Bericht-Modus kann nicht für Meta-Tags verwendet werden. Das kann sich jedoch ändern.
Weitere Informationen
Vertrauenswürdige Typen
DOM-basiertes XSS ist ein Angriff, bei dem schädliche Daten in eine Senke übergeben werden, die die dynamische Codeausführung unterstützt, z. B. eval() oder .innerHTML.
Trusted Types bieten die Tools, mit denen Sie Anwendungen ohne DOM-XSS schreiben, sicherheitsüberprüfen und warten können. Sie können über CSP aktiviert werden und machen JavaScript-Code standardmäßig sicher, indem gefährliche Web-APIs so eingeschränkt werden, dass sie nur ein spezielles Objekt akzeptieren: einen Trusted Type.
Um diese Objekte zu erstellen, können Sie Sicherheitsrichtlinien definieren, in denen Sie dafür sorgen, dass Sicherheitsregeln (z. B. Escaping oder Bereinigung) konsistent angewendet werden, bevor die Daten in das DOM geschrieben werden. Diese Richtlinien sind dann die einzigen Stellen im Code, an denen DOM-XSS auftreten kann.
Beispiele für die Verwendung
Content-Security-Policy: require-trusted-types-for 'script'
// Feature detection
if (window.trustedTypes && trustedTypes.createPolicy) {
// Name and create a policy
const policy = trustedTypes.createPolicy('escapePolicy', {
createHTML: str => {
return str.replace(/\</g, '<').replace(/>/g, '>');
}
});
}
// Assignment of raw strings is blocked by Trusted Types.
el.innerHTML = 'some string'; // This throws an exception.
// Assignment of Trusted Types is accepted safely.
const escaped = policy.createHTML('<img src=x onerror=alert(1)>');
el.innerHTML = escaped; // '&lt;img src=x onerror=alert(1)&gt;'
Empfohlene Verwendung
-
Vertrauenswürdige Typen für gefährliche DOM-Senken erzwingen CSP- und Header für vertrauenswürdige Typen:
Content-Security-Policy: require-trusted-types-for 'script'Derzeit ist
'script'der einzige zulässige Wert für dierequire-trusted-types-for-Anweisung.Sie können Trusted Types natürlich mit anderen CSP-Direktiven kombinieren:
Zusammenführen eines nonce-basierten CSP aus dem obigen Beispiel mit vertrauenswürdigen Typen:
Content-Security-Policy:
script-src 'nonce-{RANDOM1}' 'strict-dynamic' https: 'unsafe-inline';
object-src 'none';
base-uri 'none';
require-trusted-types-for 'script';
<aside class="note"><b>Hinweis</b>: Sie können die zulässigen Richtliniennamen für vertrauenswürdige Typen einschränken, indem Sie eine zusätzliche <code>trusted-types</code>-Anweisung festlegen (z. B. <code>trusted-types myPolicy</code>). Dies ist jedoch nicht erforderlich. </aside>
-
Richtlinie definieren
Richtlinie:
// Feature detection if (window.trustedTypes && trustedTypes.createPolicy) { // Name and create a policy const policy = trustedTypes.createPolicy('escapePolicy', { createHTML: str => { return str.replace(/\/g, '>'); } }); }
-
Richtlinie anwenden
Richtlinie beim Schreiben von Daten in das DOM verwenden:
// Assignment of raw strings are blocked by Trusted Types. el.innerHTML = 'some string'; // This throws an exception.</p> <p>// Assignment of Trusted Types is accepted safely. const escaped = policy.createHTML('<img src="x" onerror="alert(1)">'); el.innerHTML = escaped; // '<img src=x onerror=alert(1)>'
Bei
require-trusted-types-for 'script'ist die Verwendung eines vertrauenswürdigen Typs erforderlich. Die Verwendung einer gefährlichen DOM-API mit einem String führt zu einem Fehler.
Unterstützte Browser
Weitere Informationen
- DOM-basiertes Cross-Site-Scripting mit vertrauenswürdigen Typen verhindern
- CSP: require-trusted-types-for – HTTP | MDN
- CSP: trusted-types – HTTP | MDN
- Trusted Types-Demo: Öffnen Sie den DevTools-Inspektor, um zu sehen, was passiert.
X-Content-Type-Options
Wenn ein schädliches HTML-Dokument von Ihrer Domain bereitgestellt wird (z. B. wenn ein in einen Fotodienst hochgeladenes Bild gültiges HTML-Markup enthält), behandeln einige Browser es als aktives Dokument und erlauben die Ausführung von Skripts im Kontext der Anwendung, was zu einem Cross-Site-Scripting-Fehler führt.
X-Content-Type-Options: nosniff verhindert dies, indem der Browser angewiesen wird, dass der MIME-Typ, der im Content-Type-Header für eine bestimmte Antwort festgelegt ist, korrekt ist. Dieser Header wird für alle Ihre Ressourcen empfohlen.
Beispiel für die Verwendung
X-Content-Type-Options: nosniff
Empfohlene Verwendung
X-Content-Type-Options: nosniff wird für alle Ressourcen empfohlen, die von Ihrem Server bereitgestellt werden, zusammen mit dem richtigen Content-Type-Header.
Beispiel für Header, die mit einem Dokument-HTML gesendet werden
X-Content-Type-Options: nosniff Content-Type: text/html; charset=utf-8
Unterstützte Browser
' d='M96 183a64 64 0 0 1-23-23L17 64a128 128 0 0 0 111 192l55-96a64 64 0 0 1-87 23Z'/%3E%3Cpath fill='url(%23b)' d='M192 128a64 64 0 0 1-9 32l-55 96A128 128 0 0 0 239 64H128a64 64 0 0 1 64 64Z'/%3E%3Ccircle cx='128' cy='128' r='52' fill='%231a73e8'/%3E%3Cpath fill='url(%23c)' d='M96 73a64 64 0 0 1 32-9h111a128 128 0 0 0-222 0l56 96a64 64 0 0 1 23-87Z'/%3E%3C/svg%3E)
' xlink:href='%23A'%3E%3Cstop offset='.76' stop-opacity='0'/%3E%3Cstop offset='.95' stop-opacity='.5'/%3E%3Cstop offset='1'/%3E%3C/radialGradient%3E%3CradialGradient id='F' cx='2523' cy='4680' r='20243' gradientTransform='matrix(-.03715 .99931 -2.12836 -.07913 13579 3530)' xlink:href='%23A'%3E%3Cstop offset='0' stop-color='%2335c1f1'/%3E%3Cstop offset='.11' stop-color='%2334c1ed'/%3E%3Cstop offset='.23' stop-color='%232fc2df'/%3E%3Cstop offset='.31' stop-color='%232bc3d2'/%3E%3Cstop offset='.67' stop-color='%2336c752'/%3E%3C/radialGradient%3E%3CradialGradient id='G' cx='24247' cy='7758' r='9734' gradientTransform='matrix(.28109 .95968 -.78353 .22949 24510 -16292)' xlink:href='%23A'%3E%3Cstop offset='0' stop-color='%2366eb6e'/%3E%3Cstop offset='1' stop-color='%2366eb6e' stop-opacity='0'/%3E%3C/radialGradient%3E%3Cpath id='H' d='M24105 20053a9345 9345 0 01-1053 472 10202 10202 0 01-3590 646c-4732 0-8855-3255-8855-7432 0-1175 680-2193 1643-2729-4280 180-5380 4640-5380 7253 0 7387 6810 8137 8276 8137 791 0 1984-230 2704-456l130-44a12834 12834 0 006660-5282c220-350-168-757-535-565z'/%3E%3Cpath id='I' d='M11571 25141a7913 7913 0 01-2273-2137 8145 8145 0 01-1514-4740 8093 8093 0 013093-6395 8082 8082 0 011373-859c312-148 846-414 1554-404a3236 3236 0 012569 1297 3184 3184 0 01636 1866c0-21 2446-7960-8005-7960-4390 0-8004 4166-8004 7820 0 2319 538 4170 1212 5604a12833 12833 0 007684 6757 12795 12795 0 003908 610c1414 0 2774-233 4045-656a7575 7575 0 01-6278-803z'/%3E%3Cpath id='J' d='M16231 15886c-80 105-330 250-330 566 0 260 170 512 472 723 1438 1003 4149 868 4156 868a5954 5954 0 003027-839 6147 6147 0 001133-850 6180 6180 0 001910-4437c26-2242-796-3732-1133-4392-2120-4141-6694-6525-11668-6525-7011 0-12703 5635-12798 12620 47-3654 3679-6605 7996-6605 350 0 2346 34 4200 1007 1634 858 2490 1894 3086 2921 618 1067 728 2415 728 2952s-271 1333-780 1990z'/%3E%3Cuse fill='url(%23B)' xlink:href='%23H'/%3E%3Cuse fill='url(%23D)' opacity='.35' xlink:href='%23H'/%3E%3Cuse fill='url(%23C)' xlink:href='%23I'/%3E%3Cuse fill='url(%23E)' opacity='.4' xlink:href='%23I'/%3E%3Cuse fill='url(%23F)' xlink:href='%23J'/%3E%3Cuse fill='url(%23G)' xlink:href='%23J'/%3E%3C/svg%3E)
' gradientUnits='userSpaceOnUse'%3E%3Cstop offset='.2' stop-color='%239059ff' stop-opacity='0'/%3E%3Cstop offset='.3' stop-color='%238c4ff3' stop-opacity='.1'/%3E%3Cstop offset='.8' stop-color='%237716a8' stop-opacity='.5'/%3E%3Cstop offset='1' stop-color='%236e008b' stop-opacity='.6'/%3E%3C/radialGradient%3E%3CradialGradient id='ff-g' cx='239.1' cy='34.6' r='171.6' gradientUnits='userSpaceOnUse'%3E%3Cstop offset='0' stop-color='%23ffe226'/%3E%3Cstop offset='.1' stop-color='%23ffdb27'/%3E%3Cstop offset='.3' stop-color='%23ffc82a'/%3E%3Cstop offset='.5' stop-color='%23ffa930'/%3E%3Cstop offset='.7' stop-color='%23ff7e37'/%3E%3Cstop offset='.8' stop-color='%23ff7139'/%3E%3C/radialGradient%3E%3CradialGradient id='ff-h' cx='374' cy='-74.3' r='732.2' gradientUnits='userSpaceOnUse'%3E%3Cstop offset='.1' stop-color='%23fff44f'/%3E%3Cstop offset='.5' stop-color='%23ff980e'/%3E%3Cstop offset='.6' stop-color='%23ff5634'/%3E%3Cstop offset='.7' stop-color='%23ff3647'/%3E%3Cstop offset='.9' stop-color='%23e31587'/%3E%3C/radialGradient%3E%3CradialGradient id='ff-i' cx='304.6' cy='7.1' r='536.4' gradientTransform='rotate(84 303 4)' gradientUnits='userSpaceOnUse'%3E%3Cstop offset='0' stop-color='%23fff44f'/%3E%3Cstop offset='.1' stop-color='%23ffe847'/%3E%3Cstop offset='.2' stop-color='%23ffc830'/%3E%3Cstop offset='.3' stop-color='%23ff980e'/%3E%3Cstop offset='.4' stop-color='%23ff8b16'/%3E%3Cstop offset='.5' stop-color='%23ff672a'/%3E%3Cstop offset='.6' stop-color='%23ff3647'/%3E%3Cstop offset='.7' stop-color='%23e31587'/%3E%3C/radialGradient%3E%3CradialGradient id='ff-j' cx='235' cy='98.1' r='457.1' gradientUnits='userSpaceOnUse'%3E%3Cstop offset='.1' stop-color='%23fff44f'/%3E%3Cstop offset='.5' stop-color='%23ff980e'/%3E%3Cstop offset='.6' stop-color='%23ff5634'/%3E%3Cstop offset='.7' stop-color='%23ff3647'/%3E%3Cstop offset='.9' stop-color='%23e31587'/%3E%3C/radialGradient%3E%3CradialGradient id='ff-k' cx='355.7' cy='124.9' r='500.3' gradientUnits='userSpaceOnUse'%3E%3Cstop offset='.1' stop-color='%23fff44f'/%3E%3Cstop offset='.2' stop-color='%23ffe141'/%3E%3Cstop offset='.5' stop-color='%23ffaf1e'/%3E%3Cstop offset='.6' stop-color='%23ff980e'/%3E%3C/radialGradient%3E%3ClinearGradient id='ff-a' x1='446.9' y1='76.8' x2='47.9' y2='461.8' gradientUnits='userSpaceOnUse'%3E%3Cstop offset='.1' stop-color='%23fff44f'/%3E%3Cstop offset='.1' stop-color='%23ffe847'/%3E%3Cstop offset='.2' stop-color='%23ffc830'/%3E%3Cstop offset='.4' stop-color='%23ff980e'/%3E%3Cstop offset='.4' stop-color='%23ff8b16'/%3E%3Cstop offset='.5' stop-color='%23ff672a'/%3E%3Cstop offset='.5' stop-color='%23ff3647'/%3E%3Cstop offset='.7' stop-color='%23e31587'/%3E%3C/linearGradient%3E%3ClinearGradient id='ff-l' x1='442.1' y1='74.8' x2='102.6' y2='414.3' gradientUnits='userSpaceOnUse'%3E%3Cstop offset='.2' stop-color='%23fff44f' stop-opacity='.8'/%3E%3Cstop offset='.3' stop-color='%23fff44f' stop-opacity='.6'/%3E%3Cstop offset='.5' stop-color='%23fff44f' stop-opacity='.2'/%3E%3Cstop offset='.6' stop-color='%23fff44f' stop-opacity='0'/%3E%3C/linearGradient%3E%3C/defs%3E%3Cpath d='M479 166c-11-25-32-52-49-60a249 249 0 0 1 25 73c-27-68-73-95-111-155a255 255 0 0 1-8-14 44 44 0 0 1-4-9 1 1 0 0 0 0-1 1 1 0 0 0-1 0c-60 35-81 101-83 134a120 120 0 0 0-66 25 71 71 0 0 0-6-5 111 111 0 0 1-1-58c-25 11-44 29-58 44-9-12-9-52-8-60l-8 4a175 175 0 0 0-24 21 210 210 0 0 0-22 26 203 203 0 0 0-32 73l-1 2-2 15a229 229 0 0 0-4 34v1a240 240 0 0 0 477 40l1-9c5-41 0-84-15-121zM202 355l3 1-3-1zm55-145zm198-31z' fill='url(%23ff-a)'/%3E%3Cpath d='M479 166c-11-25-32-52-49-60 14 26 22 53 25 72v1a207 207 0 0 1-206 279c-113-3-212-87-231-197-3-17 0-26 2-40-2 11-3 14-4 34v1a240 240 0 0 0 477 40l1-9c5-41 0-84-15-121z' fill='url(%23ff-b)'/%3E%3Cpath d='M479 166c-11-25-32-52-49-60 14 26 22 53 25 72v1a207 207 0 0 1-206 279c-113-3-212-87-231-197-3-17 0-26 2-40-2 11-3 14-4 34v1a240 240 0 0 0 477 40l1-9c5-41 0-84-15-121z' fill='url(%23ff-c)'/%3E%3Cpath d='m362 195 1 1a130 130 0 0 0-22-29C266 92 322 5 331 0c-60 35-81 101-83 134l9-1c45 0 84 25 105 62z' fill='url(%23ff-d)'/%3E%3Cpath d='M257 210c-1 6-22 26-29 26-68 0-80 41-80 41 3 35 28 64 57 79l4 2 7 3a107 107 0 0 0 31 6c120 6 143-143 57-186 22-4 45 5 58 14-21-37-60-62-105-62l-9 1a120 120 0 0 0-66 25l17 16c16 16 58 33 58 35z' fill='url(%23ff-e)'/%3E%3Cpath d='M257 210c-1 6-22 26-29 26-68 0-80 41-80 41 3 35 28 64 57 79l4 2 7 3a107 107 0 0 0 31 6c120 6 143-143 57-186 22-4 45 5 58 14-21-37-60-62-105-62l-9 1a120 120 0 0 0-66 25l17 16c16 16 58 33 58 35z' fill='url(%23ff-f)'/%3E%3Cpath d='m171 151 5 3a111 111 0 0 1-1-58c-25 11-44 29-58 44 1 0 36 0 54 11z' fill='url(%23ff-g)'/%3E%3Cpath d='M18 261a242 242 0 0 0 231 197 207 207 0 0 0 206-279c8 56-20 110-64 146-86 71-169 43-186 31l-3-1c-50-24-71-70-67-110-42 0-57-35-57-35s38-28 89-4c46 22 90 4 90 4 0-2-42-19-58-35l-17-16a71 71 0 0 0-6-5l-5-3c-18-11-52-11-54-11-9-12-9-51-8-60l-8 4a175 175 0 0 0-24 21 210 210 0 0 0-22 26 203 203 0 0 0-32 73c0 1-9 38-5 57z' fill='url(%23ff-h)'/%3E%3Cpath d='M341 167a130 130 0 0 1 22 29 46 46 0 0 1 4 3c55 50 26 121 24 126 44-36 72-90 64-146-27-68-73-95-111-155a255 255 0 0 1-8-14 44 44 0 0 1-4-9 1 1 0 0 0 0-1 1 1 0 0 0-1 0c-9 5-65 92 10 167z' fill='url(%23ff-i)'/%3E%3Cpath d='M367 199a46 46 0 0 0-4-3l-1-1c-13-9-36-18-58-15 86 44 63 193-57 187a107 107 0 0 1-31-6 131 131 0 0 1-11-5c17 12 99 39 186-31 2-5 31-76-24-126z' fill='url(%23ff-j)'/%3E%3Cpath d='M148 277s12-41 80-41c7 0 28-20 29-26s-44 18-90-4c-51-24-89 4-89 4s15 35 57 35c-4 40 16 85 67 110l3 1c-29-15-54-44-57-79z' fill='url(%23ff-k)'/%3E%3Cpath d='M479 166c-11-25-32-52-49-60a249 249 0 0 1 25 73c-27-68-73-95-111-155a255 255 0 0 1-8-14 44 44 0 0 1-4-9 1 1 0 0 0 0-1 1 1 0 0 0-1 0c-60 35-81 101-83 134l9-1c45 0 84 25 105 62-13-9-36-18-58-14 86 43 63 192-57 186a107 107 0 0 1-31-6 131 131 0 0 1-11-5l-3-1 3 1c-29-15-54-44-57-79 0 0 12-41 80-41 7 0 28-20 29-26 0-2-42-19-58-35l-17-16a71 71 0 0 0-6-5 111 111 0 0 1-1-58c-25 11-44 29-58 44-9-12-9-52-8-60l-8 4a175 175 0 0 0-24 21 210 210 0 0 0-22 26 203 203 0 0 0-32 73l-1 2-2 15a279 279 0 0 0-4 34v1a240 240 0 0 0 477 40l1-9c5-41 0-84-15-121zm-24 13z' fill='url(%23ff-l)'/%3E%3C/svg%3E)
' xlink:href='%23s-b'%3E%3Cstop offset='0' stop-color='%2324a5f3' stop-opacity='0' /%3E%3Cstop offset='1' stop-color='%231e8ceb' /%3E%3C/radialGradient%3E%3CradialGradient id='s-j' cx='109.3' cy='13.8' r='93.1' gradientTransform='matrix(-.02 1.1 -1.04 -.02 137 -115)' xlink:href='%23s-b'%3E%3Cstop offset='0' stop-opacity='0' /%3E%3Cstop offset='1' stop-color='%235488d6' stop-opacity='0' /%3E%3Cstop offset='1' stop-color='%235d96eb' /%3E%3C/radialGradient%3E%3C/defs%3E%3Crect width='220' height='220' x='22' y='-107' fill='url(%23s-a)' ry='49' transform='matrix(.57 0 0 .57 187 256)' /%3E%3Cg transform='translate(194 190)'%3E%3Ccircle cx='67.8' cy='67.7' fill='url(%23s-c)' paint-order='stroke fill markers' r='54' /%3E%3Ccircle cx='-69.9' cy='69.3' fill='url(%23s-i)' transform='translate(138 -2)' r='54' /%3E%3C/g%3E%3Cellipse cx='120' cy='14.2' fill='url(%23s-j)' rx='93.1' ry='93.7' transform='matrix(.58 0 0 .58 192 250)' /%3E%3Cg transform='matrix(.58 0 0 .57 197 182)'%3E%3Cpath fill='%23cac7c8' d='M46 192h1l72-48-7-9-66 57Z' /%3E%3Cpath fill='%23fbfffc' d='M46 191v1l66-57-7-9-59 65Z' /%3E%3Cpath fill='url(%23s-d)' d='m119 144-7-9 66-57-59 66Z' /%3E%3Cpath fill='%23fb645c' d='m105 126 7 9 66-57-1-1-72 49Z' /%3E%3C/g%3E%3Cpath stroke='%23fff' stroke-linecap='round' stroke-miterlimit='1' stroke-width='1.3' d='m287 278 3-2m-12-17 8-2m-8-3h4m-4-13 8 2m-8 3h4m-1-13 7 3m-4-11 7 4m-2-11 6 6m0-12 6 7m1-11 4 6m4-10 3 7m5-9 2 7m15-7-1 7m10-5-3 7m11-4-4 7m11-2-5 6m16 7-7 4m10 4-7 3m10 6-8 1m8 16-8-2m5 10-7-3m4 11-7-4m2 11-6-5m0 11-5-6m-2 11-4-7m-4 11-3-8m-6 10-1-8m-16 8 2-8m-10 5 3-7m-11 4 4-7m-11 2 5-6m-8 3 3-3m4 8 2-3m5 8 2-4m6 7 1-4m8 5v-4m8 4v-4m9 3-1-4m9 1-2-4m9 0-2-4m9-2-3-3m8-4-3-2m8-5-4-2m7-6-4-1m5-8h-4m4-8h-4m3-9-4 1m1-9-4 2m-1-9-3 2m-2-9-3 3m-4-8-2 3m-5-8-2 4m-6-6-1 3m-8-5v4m-8-4v4m-9-2 1 3m-9 0 2 3m-9 1 2 3m-9 2 3 3m-8 4 3 2m-8 5 4 2m-7 6 4 1m-4 25 4-1m-2 5 7-3m-6 7 4-2m-2 6 7-4m-13-21h8m41-41v-8m0 99v-8m49-42h-8' transform='translate(-65 8)' /%3E%3C/svg%3E)
Weitere Informationen
X-Frame-Options
Wenn eine schädliche Website Ihre Website als iFrame einbetten kann, können Angreifer möglicherweise mit Clickjacking unbeabsichtigte Aktionen des Nutzers auslösen. In einigen Fällen können Spectre-Angriffe dazu führen, dass schädliche Websites Informationen zum Inhalt eines eingebetteten Dokuments erhalten.
X-Frame-Options gibt an, ob ein Browser eine Seite in einem <frame>, <iframe>, <embed> oder <object> rendern darf. Alle Dokumente: Es wird empfohlen, diesen Header zu senden, um anzugeben, ob das Einbetten in andere Dokumente zulässig ist.
Beispiel für die Verwendung
X-Frame-Options: DENY
Empfohlene Verwendung
Für alle Dokumente, die nicht eingebettet werden sollen, muss der X-Frame-Options-Header verwendet werden.
In dieser Demo können Sie ausprobieren, wie sich die folgenden Konfigurationen auf das Laden eines iFrames auswirken. Ändern Sie das Drop-down-Menü X-Frame-Options
und klicken Sie auf die Schaltfläche iFrame neu laden.
Schützt Ihre Website davor, von anderen Websites eingebettet zu werden
Verhindern, dass das Dokument in andere Dokumente eingebettet wird.
X-Frame-Options: DENYSchützt Ihre Website davor, von beliebigen Websites mit anderem Ursprung eingebettet zu werden
Einbetten nur durch Same-Origin-Dokumente zulassen.
X-Frame-Options: SAMEORIGINUnterstützte Browser
Weitere Informationen
Cross-Origin-Resource-Policy (CORP)
Ein Angreifer kann Ressourcen von einem anderen Ursprung, z. B. von Ihrer Website, einbetten, um Informationen über sie zu erhalten, indem er webbasierte Cross-Site-Leaks ausnutzt.
Cross-Origin-Resource-Policy minimiert dieses Risiko, indem es angibt, von welchen Websites es geladen werden kann. Der Header kann einen von drei Werten annehmen: same-origin, same-site und cross-origin. Es wird empfohlen, dass alle Ressourcen diesen Header senden, um anzugeben, ob sie von anderen Websites geladen werden dürfen.
Beispiel für die Verwendung
Cross-Origin-Resource-Policy: same-origin
Empfohlene Verwendung
Es wird empfohlen, alle Ressourcen mit einem der folgenden drei Header bereitzustellen.
In dieser Demo können Sie ausprobieren, wie sich die folgenden Konfigurationen auf das Laden von Ressourcen in einer Cross-Origin-Embedder-Policy: require-corp-Umgebung auswirken. Ändern Sie das Drop-down-Menü Cross-Origin-Resource-Policy und klicken Sie auf die Schaltfläche iframe neu laden oder Bild neu laden, um die Änderung zu sehen.
Ressourcen dürfen geladen werden cross-origin
Es wird empfohlen, dass CDN-ähnliche Dienste cross-origin auf Ressourcen anwenden, da diese in der Regel von seitenübergreifenden Seiten geladen werden, sofern sie nicht bereits über CORS bereitgestellt werden, was einen ähnlichen Effekt hat.
Cross-Origin-Resource-Policy: cross-originLaden von Ressourcen aus same-origin einschränken
same-origin sollte auf Ressourcen angewendet werden, die nur von Seiten mit demselben Ursprung geladen werden sollen. Sie sollten dies auf Ressourcen anwenden, die vertrauliche Informationen über den Nutzer enthalten, oder auf Antworten einer API, die nur vom selben Ursprung aufgerufen werden soll.
Beachten Sie, dass Ressourcen mit diesem Header weiterhin direkt geladen werden können, z. B. durch Aufrufen der URL in einem neuen Browserfenster. Die Cross-Origin Resource Policy schützt die Ressource nur davor, von anderen Websites eingebettet zu werden.
Cross-Origin-Resource-Policy: same-originLaden von Ressourcen aus same-site einschränken
same-site wird für Ressourcen empfohlen, die den oben genannten ähneln, aber von anderen Subdomains Ihrer Website geladen werden sollen.
Cross-Origin-Resource-Policy: same-siteUnterstützte Browser
Weitere Informationen
Cross-Origin-Opener-Policy (COOP)
Die Website eines Angreifers kann eine andere Website in einem Pop-up-Fenster öffnen, um Informationen darüber zu erhalten, indem webbasierte Cross-Site-Leaks ausgenutzt werden. In einigen Fällen kann dies auch die Ausnutzung von Nebenkanalangriffen auf Grundlage von Spectre ermöglichen.
Mit dem Header Cross-Origin-Opener-Policy kann ein Dokument sich von ursprungsübergreifenden Fenstern isolieren, die über window.open() oder einen Link mit target="_blank" ohne rel="noopener" geöffnet wurden. Daher hat jeder ursprungsübergreifende Öffner des Dokuments keinen Verweis darauf und kann nicht damit interagieren.
Beispiel für die Verwendung
Cross-Origin-Opener-Policy: same-origin-allow-popups
Empfohlene Verwendung
In dieser Demo können Sie ausprobieren, wie sich die folgenden Konfigurationen auf die Kommunikation mit einem Pop-up-Fenster mit ursprungsübergreifendem Zugriff auswirken. Ändern Sie das Drop-down-Menü Cross-Origin-Opener-Policy sowohl für das Dokument als auch für das Pop-up-Fenster, klicken Sie auf die Schaltfläche Pop-up öffnen und dann auf postMessage senden, um zu prüfen, ob die Nachricht tatsächlich zugestellt wird.
Dokument von ursprungsübergreifenden Fenstern isolieren
Durch die Einstellung same-origin wird das Dokument von ursprungsübergreifenden Dokumentfenstern isoliert.
Cross-Origin-Opener-Policy: same-originDokument von ursprungsübergreifenden Fenstern isolieren, aber Pop‑ups zulassen
Wenn same-origin-allow-popups festgelegt ist, kann ein Dokument einen Verweis auf seine Pop-up-Fenster beibehalten, sofern für diese nicht COOP mit same-origin oder same-origin-allow-popups festgelegt ist. Das bedeutet, dass same-origin-allow-popups das Dokument weiterhin davor schützen kann, referenziert zu werden, wenn es als Pop-up-Fenster geöffnet wird, aber die Kommunikation mit eigenen Pop-ups zulässt.
Cross-Origin-Opener-Policy: same-origin-allow-popupsZulassen, dass auf ein Dokument von ursprungsübergreifenden Fenstern verwiesen wird
unsafe-none ist der Standardwert. Sie können aber explizit angeben, dass dieses Dokument von einem herkunftsübergreifenden Fenster geöffnet werden kann und der gegenseitige Zugriff erhalten bleibt.
Cross-Origin-Opener-Policy: unsafe-noneBerichtsmuster, die nicht mit COOP kompatibel sind
Sie können Berichte erhalten, wenn COOP die Fensterübergreifende Interaktion mit der Reporting API verhindert.
Cross-Origin-Opener-Policy: same-origin; report-to="coop"COOP unterstützt auch einen reinen Berichtsmodus, sodass Sie Berichte erhalten können, ohne die Kommunikation zwischen ursprungsübergreifenden Dokumenten tatsächlich zu blockieren.
Cross-Origin-Opener-Policy-Report-Only: same-origin; report-to="coop"Unterstützte Browser
Weitere Informationen
Cross-Origin Resource Sharing (CORS)
Im Gegensatz zu anderen Elementen in diesem Artikel ist Cross-Origin Resource Sharing (CORS) kein Header, sondern ein Browsermechanismus, der den Zugriff auf Ressourcen mit unterschiedlichen Ursprüngen anfordert und zulässt.
Standardmäßig erzwingen Browser die Same-Origin-Richtlinie, um zu verhindern, dass eine Webseite auf ursprungsübergreifende Ressourcen zugreift. Wenn beispielsweise ein bildquellenübergreifendes Bild geladen wird, kann das JavaScript auf der Seite nicht auf die Daten des Bildes zugreifen, obwohl es auf der Webseite angezeigt wird. Der Ressourcenanbieter kann Einschränkungen aufheben und anderen Websites erlauben, die Ressource zu lesen, indem er CORS aktiviert.
Beispiel für die Verwendung
Access-Control-Allow-Origin: https://example.com
Access-Control-Allow-Credentials: true
Bevor Sie sich ansehen, wie CORS konfiguriert wird, ist es hilfreich, die Unterscheidung zwischen Anfragetypen zu verstehen. Je nach den Details der Anfrage wird sie als einfache Anfrage oder als Preflight-Anfrage klassifiziert.
Kriterien für eine einfache Anfrage:
- Die Methode ist
GET,HEADoderPOST. - Die benutzerdefinierten Headern enthalten nur
Accept,Accept-Language,Content-LanguageundContent-Type. Content-Typeistapplication/x-www-form-urlencoded,multipart/form-dataodertext/plain.
Alles andere wird als Preflight-Anfrage klassifiziert. Weitere Informationen finden Sie unter Cross-Origin Resource Sharing (CORS) – HTTP | MDN.
Empfohlene Verwendung
Einfache Anfrage
Wenn eine Anfrage die Kriterien für eine einfache Anfrage erfüllt, sendet der Browser eine ursprungsübergreifende Anfrage mit einem Origin-Header, der den anfragenden Ursprung angibt.
Beispiel für einen Anfrageheader
Get / HTTP/1.1 Origin: https://example.com
Beispiel für einen Antwortheader
Access-Control-Allow-Origin: https://example.com Access-Control-Allow-Credentials: true
Access-Control-Allow-Origin: https://example.comgibt an, dass derhttps://example.comauf den Inhalt der Antwort zugreifen kann. Für Ressourcen, die von jeder Website gelesen werden können, kann dieser Header auf*gesetzt werden. In diesem Fall muss die Anfrage vom Browser nur ohne Anmeldedaten gesendet werden.Access-Control-Allow-Credentials: truegibt an, dass Anfragen, die Anmeldedaten (Cookies) enthalten, die Ressource laden dürfen. Andernfalls werden authentifizierte Anfragen abgelehnt, auch wenn der anfragende Ursprung imAccess-Control-Allow-Origin-Header vorhanden ist.
In dieser Demo können Sie ausprobieren, wie sich die einfache Anfrage auf das Laden von Ressourcen in einer Cross-Origin-Embedder-Policy: require-corp-Umgebung auswirkt. Klicken Sie das Kästchen Cross-Origin Resource Sharing an und klicken Sie auf die Schaltfläche Bild neu laden, um den Effekt zu sehen.
Preflight-Anfragen
Einer Preflight-Anfrage geht eine OPTIONS-Anfrage voraus, um zu prüfen, ob die nachfolgende Anfrage gesendet werden darf.
Beispiel für einen Anfrageheader
OPTIONS / HTTP/1.1 Origin: https://example.com Access-Control-Request-Method: POST Access-Control-Request-Headers: X-PINGOTHER, Content-Type
- Mit
Access-Control-Request-Method: POSTkann die folgende Anfrage mit der MethodePOSTgestellt werden. - Mit
Access-Control-Request-Headers: X-PINGOTHER, Content-Typekann der Anfragende die HTTP-HeaderX-PINGOTHERundContent-Typein der nachfolgenden Anfrage festlegen.
Beispiel für Antwortheader
Access-Control-Allow-Origin: https://example.com Access-Control-Allow-Credentials: true Access-Control-Allow-Methods: POST, GET, OPTIONS Access-Control-Allow-Headers: X-PINGOTHER, Content-Type Access-Control-Max-Age: 86400
Access-Control-Allow-Methods: POST, GET, OPTIONSgibt an, dass nachfolgende Anfragen mit den MethodenPOST,GETundOPTIONSgestellt werden können.Access-Control-Allow-Headers: X-PINGOTHER, Content-Typegibt an, dass nachfolgende Anfragen die HeaderX-PINGOTHERundContent-Typeenthalten können.Access-Control-Max-Age: 86400gibt an, dass das Ergebnis der Preflight-Anfrage für 86.400 Sekunden im Cache gespeichert werden kann.
Unterstützte Browser
Weitere Informationen
Cross-Origin-Embedder-Richtlinie (COEP)
Um die Wahrscheinlichkeit zu verringern, dass bei Spectre-basierten Angriffen Ressourcen zwischen verschiedenen Ursprüngen gestohlen werden, sind Funktionen wie SharedArrayBuffer oder performance.measureUserAgentSpecificMemory() standardmäßig deaktiviert.
Cross-Origin-Embedder-Policy: require-corp verhindert, dass Dokumente und Worker Ressourcen mit Ursprungsübergang wie Bilder, Skripts, Stylesheets und iFrames laden, sofern diese Ressourcen nicht explizit über CORS- oder CORP-Header geladen werden. COEP kann mitCross-Origin-Opener-Policykombiniert werden, um ein Dokument für die ursprungsübergreifende Isolation zu aktivieren.
Verwenden Sie Cross-Origin-Embedder-Policy: require-corp, wenn Sie die ursprungsübergreifende Isolierung für Ihr Dokument aktivieren möchten.
Beispiel für die Verwendung
Cross-Origin-Embedder-Policy: require-corp
Beispiele für die Nutzung
COEP akzeptiert nur den Wert require-corp. Durch das Senden dieses Headers können Sie den Browser anweisen, Ressourcen zu blockieren, die nicht über CORS oder CORP aktiviert werden.
In dieser Demo können Sie ausprobieren, wie sich die folgenden Konfigurationen auf das Laden von Ressourcen auswirken. Ändern Sie das Drop-down-Menü Cross-Origin-Embedder-Policy, das Drop-down-Menü Cross-Origin-Resource-Policy, das Kästchen Report Only usw., um zu sehen, wie sich die Änderungen auf das Laden von Ressourcen auswirken. Öffnen Sie außerdem die Demoseite für den Reporting-Endpunkt, um zu prüfen, ob die blockierten Ressourcen gemeldet werden.
Cross-Origin Isolation aktivieren
Aktivieren Sie die ursprungsübergreifende Isolierung, indem Sie Cross-Origin-Embedder-Policy: require-corp zusammen mit Cross-Origin-Opener-Policy: same-origin senden.
Cross-Origin-Embedder-Policy: require-corp Cross-Origin-Opener-Policy: same-origin
Mit COEP inkompatible Ressourcen melden
Mit der Reporting API können Sie Berichte zu blockierten Ressourcen erhalten, die durch COEP verursacht wurden.
Cross-Origin-Embedder-Policy: require-corp; report-to="coep"COEP unterstützt auch den Nur-Bericht-Modus. So können Sie Berichte erhalten, ohne das Laden von Ressourcen zu blockieren.
Cross-Origin-Embedder-Policy-Report-Only: require-corp; report-to="coep"Unterstützte Browser
Weitere Informationen
HTTP Strict Transport Security (HSTS)
Die Kommunikation über eine einfache HTTP-Verbindung ist nicht verschlüsselt. Die übertragenen Daten sind daher für Lauscher auf Netzwerkebene zugänglich.
Der Strict-Transport-Security-Header informiert den Browser, dass die Website niemals über HTTP geladen werden soll, sondern stattdessen HTTPS verwendet werden soll. Sobald der Header festgelegt ist, verwendet der Browser für den Zugriff auf die Domain HTTPS anstelle von HTTP, ohne dass eine Weiterleitung erfolgt. Die Dauer wird im Header definiert.
Beispiel für die Verwendung
Strict-Transport-Security: max-age=31536000
Empfohlene Verwendung
Alle Websites, die von HTTP zu HTTPS migriert werden, sollten mit einem Strict-Transport-Security-Header antworten, wenn eine Anfrage mit HTTP empfangen wird.
Strict-Transport-Security: max-age=31536000Unterstützte Browser