Defaults.Exposed › Rettelser › Cross-origin isolationsheaders (COOP / CORP / COEP)
Sådan retter du Cross-origin isolationsheaders (COOP / CORP / COEP)
Tre valgfrie browser-instruktioner der kontrollerer, hvordan andre hjemmesider har tilladelse til at interagere med din — åbne den i popups, integrere dens billeder og scripts, eller trække dens ressourcer ind i deres egne sider. De er moderne hærdning, ikke et grundlæggende krav, og på vores scoring er de informative: at mangle dem sænker ikke din karakter. Men de to sikre lukker et stille phishing- og båndbredde-tyveri-hul, og en omhyggelig købers IT-team vil bemærke, når de er til stede.
Det korte svar for din virksomhed: To af disse tre headers lukker ned for sofistikeret popup-phishing og stopper andre sider fra at hotlinke dine billeder og scripts (som koster dig båndbredde og kan lække data). De er gratis, tager en udvikler cirka 15 minutter og bryder ingenting. Den tredje er avanceret og kan bryde analytics, skrifttyper og embeds — de fleste virksomheder bør lade den stå fra. Ingen af dem påvirker din karakter, så behandl dem som polish, ikke panik: gør de to sikre, spring den risikable over medmindre du specifikt har brug for den.
Hvad dette kan koste dig
- En svindler åbner din rigtige side i et popup-vindue og holder fjernkontrol over den — omdirigerer stille din kunde til et falsk login i det øjeblik de kigger væk. Det sikre header (COOP) klipper det kontrollink helt over.
- Andre hjemmesider integrerer dine produktfotos, logoer og scripts direkte fra din server (hotlinking) — du betaler for båndbredden, hver gang deres besøgende indlæser siden, og dine ressourcer dukker op på sider, du aldrig ville godkende.
- Et prospects sikkerhedsteam kører en header-scanning inden underskrift og ser, at du har tilføjet moderne cross-origin-hærdning — lille signal, men det lander dig i 'de tager dette seriøst'-kolonnen.
- En udvikler, der forsøger at være grundig, slår det avancerede isolationsheader (COEP) til uden at teste — og ødelægger Google Analytics, webskrifttyper og integreret booking-widget natten over. At vide, hvilket header er sikkert og hvilket er risikabelt, undgår et selvforvoldt nedbrud.
- En revisors tjekliste nævner cross-origin isolation; du vil hellere vise 'til stede og korrekt' på de to sikre end forklare, hvorfor der slet ikke er noget.
Hvorfor det betyder noget. Dette er fremadskuende browser-hærdningsheaders. På vores metodologi er alle tre informative — de er registreret med nul point og bevæger aldrig din karakter — fordi de er avancerede kontroller en side legitimt kan fungere uden, og én af dem kan gøre skade, hvis den misanvendes. Vi rapporterer om dem, så du kan se, hvor du står. De to sikre (COOP og CORP) er genuint værd at tilføje: gratis, hurtige og de lukker reelle popup-phishing- og ressource-tyverigab uden at bryde noget.
Hvad disse er på klart dansk
Når nogen besøger din hjemmeside, indlæser deres browser ikke bare dine sider isoleret — den beslutter også, hvordan andre hjemmesider har tilladelse til at interagere med din. Kan en anden side åbne din side i et popup og holde fat i den? Kan en anden side nå over og integrere dine billeder og scripts på deres egne sider?
Disse tre headers er korte, usynlige instruktioner din hjemmeside sender til enhver besøgendes browser for at besvare præcis de spørgsmål. De er kendt ved deres initialer:
- COOP — Cross-Origin-Opener-Policy. Kontrollerer, om andre sider der åbner din i et popup-vindue, kan holde fjernkontrol over det.
- CORP — Cross-Origin-Resource-Policy. Kontrollerer, om andre sider har tilladelse til at integrere dine billeder, scripts og andre filer på deres egne sider.
- COEP — Cross-Origin-Embedder-Policy. En avanceret kontrol der, kombineret med COOP, “isolerer” din side, så den kan bruge visse kraftfulde browser-funktioner sikkert.
To af dem (COOP og CORP) er sikre at tilføje og genuint nyttige. Den tredje (COEP) er avanceret og kan bryde ting, hvis den aktiveres forsigtigt.
Det vigtigste at vide på forhånd: på vores scoring er alle tre informative. De påvirker ikke din karakter. Et manglende koster dig ingenting.
Hvad dette kan koste dig
-
Popup-phishing der holder fjernkontrol over din rigtige side. Uden COOP kan en svindlers side åbne din faktiske hjemmeside i et popup-vindue og holde en live reference til det. Mens din kundes opmærksomhed er på svindlerens side, kan angriberen omdirigere det popup — dit rigtige domæne i adresselinjen — til en falsk login- eller betalingsskærm i det præcise øjeblik kunden vender tilbage til det. COOP sat til “same-origin” klipper det kontrollink over.
-
Andre sider der stjæler din båndbredde (og lægger dine ressourcer der, du ikke ønsker dem). Uden CORP kan enhver hjemmeside på internettet integrere dine produktfotos, logoer, scripts og andre filer direkte fra din server — “hotlinking.” CORP sat til “same-origin” stopper udenfor-sider i at integrere dine ressourcer.
-
Et stille data-lækage-path for avancerede browser-angreb. Den samme cross-origin-integrering der muliggør hotlinking, er også en af de paths avancerede, side-kanal browser-angreb (Spectre-familien) bruger til at læse data de ikke burde.
-
Et selvforvoldt nedbrud fra det forkerte header. Det avancerede COEP kræver, at enhver ressource din side indlæser eksplicit giver tilladelse. Slå det til uden at teste, og din analytics, webskrifttyper, integrerede kort, booking-widgets og tredjepart-scripts kan alle holde op med at indlæse.
-
Et misset nemt signal til omhyggelige købere. Når et prospects IT-team scanner dine headers inden underskrift, er det at finde moderne cross-origin-hærdning på plads et lille, men reelt “disse folk tager sikkerhed seriøst”-signal.
Hvad hver enkelt faktisk er
COOP — Cross-Origin-Opener-Policy (sikker, anbefalet)
Når en anden hjemmeside åbner din ved brug af et popup eller window.open, kan de to vinduer normalt holde en reference til hinanden. Det link kan misbruges. COOP: same-origin bryder det forhold — dit vindue bliver isoleret fra alt der åbnede det på tværs af origins.
Hvad “godt” ser ud som: Cross-Origin-Opener-Policy: same-origin.
CORP — Cross-Origin-Resource-Policy (sikker, anbefalet)
Som standard kan dine billeder, scripts og andre filer integreres af enhver side overalt. CORP: same-origin siger til browsere om at nægte cross-origin-integrering af dine ressourcer. Din egen side indlæser stadig sine egne ressourcer præcis som før; kun udenfor-sider blokeres.
Hvad “godt” ser ud som: Cross-Origin-Resource-Policy: same-origin.
COEP — Cross-Origin-Embedder-Policy (avanceret, lad som regel være fra)
COEP fuldfører “cross-origin isolation”: kombineret med COOP kræver det, at enhver ressource din side indlæser eksplicit giver tilladelse (via CORS eller CORP). Men fordi det kræver tilladelse fra alt du indlæser, kan det nemt bryde tredjepartsværktøjer.
Hvad “godt” ser ud som: for den sjældne side der har brug for det, Cross-Origin-Embedder-Policy: credentialless. For alle andre er fraværende fint.
Sådan fikser du det (gratis, ~15 minutter)
Overrækk dette til din IT-person eller webudvikler — fikset er gratis. At tilføje COOP og CORP er et par ét-linjes indstillinger på din server eller CDN. Den eneste instruktion til ejeren er: gør de to sikre, og aktivér ikke COEP uden at teste.
De to sikre headers (anbefalet til alle)
Cloudflare — Rules → Transform Rules → Modify Response Headers → Sæt:
Cross-Origin-Opener-Policy=same-originCross-Origin-Resource-Policy=same-origin
Nginx:
add_header Cross-Origin-Opener-Policy "same-origin" always;
add_header Cross-Origin-Resource-Policy "same-origin" always;
Apache:
Header always set Cross-Origin-Opener-Policy "same-origin"
Header always set Cross-Origin-Resource-Policy "same-origin"
Disse er sikre at tilføje og bryder ikke normal funktionalitet. Efter udrulning, genindlæs et par sider og bekræft, at sitet opfører sig præcis som før.
Det avancerede header (kun hvis du specifikt har brug for det)
Aktivér ikke dette uden at teste i staging først. COEP kan bryde analytics, skrifttyper og integrerede widgets.
Nginx:
add_header Cross-Origin-Embedder-Policy "credentialless" always;
Brug credentialless snarere end require-corp. Test grundigt i staging; watch for tredjeparts-scripts, skrifttyper eller embeds der holder op med at indlæse.
Almindelige fejl
- At aktivere COEP “for at være grundig” og bryde sitet. Dette er det store. COEP kræver tilladelse fra alt du indlæser; flip det til uden at teste, og din analytics, skrifttyper og embeds kan forsvinde.
- At behandle disse som haster fordi en scanner nævnte dem. De er informative. De scorede webheaders (HTTPS, HSTS, CSP, clickjacking, MIME-sniffing) kommer først.
- At sætte CORP for strengt når du faktisk udgiver integrerbare ressourcer. Serverer du bevidst et logo, badge eller API til andre sider at bruge, blokerer en bred
same-originCORP dem. - At tilføje headeret på side/app-niveau og gå glip af nogle responser. Sæt dem på server- eller CDN-niveau, så de gælder for enhver respons.
En bemærkning om karakter
For at sige det fuldstændig klart: ingen af disse tre tjek påvirker din karakter. De er registreret i vores metodologi som informative, med nul point, og et manglende koster dig aldrig noget. Vi viser dem, fordi de to sikre er billige, ægte forbedringer, og fordi det er nyttigt at se det fulde billede — ikke fordi der er et tal at forsvare.
FAQ
Disse påvirker ikke min karakter — skal jeg overhovedet gøre mig umage?
To af dem, ja; én, sandsynligvis ikke. COOP og CORP er gratis, tager minutter og bryder ikke din side — de lukker reelle (om end niche) angrebsstier, så de er værd at gøre som billig hygiejne. COEP er avanceret og kan bryde tredjepartsværktøjer, så de fleste virksomheder bør lade den stå fra, medmindre de specifikt har brug for de browser-funktioner den åbner op for. Ingen af de tre ændrer din score, uanset hvad, så der er ingen hast — behandl de to sikre som en oprydning næste gang din udvikler er inde på sitet.
Jeg er ikke teknisk — er dette noget jeg skal handle på?
Ikke personligt, og ikke haster. Fordi disse er informative, sker der intet dårligt med din karakter, hvis du springer dem over. Vil du tilføje de to sikre, send afsnittet 'Sådan fikser du det' til den der administrerer din hjemmeside eller CDN — det er et par ét-linjes indstillinger og fikset er gratis. Den eneste at fremhæve eksplicit er COEP: fortæl dem om ikke at slå den til uden at teste, fordi det kan bryde analytics og integrerede widgets.
Hvad er forskellen på disse og de headers der FAKTISK påvirker min karakter?
De scorede websikkerhedsheaders — HTTPS-omdirigering, HSTS, Content-Security-Policy, clickjacking-beskyttelse (X-Frame-Options) og MIME-sniffing-beskyttelse — forsvarer mod gængse, bredt-udnyttede angreb, så at mangle dem koster point. De tre på denne side (COOP, CORP, COEP) er nyere, mere specialiserede browser-isolationskontroller. De er god praksis, men ikke endnu baseline-forventning, så vi rapporterer dem uden at score dem.
Bryder det at tilføje COOP eller CORP min hjemmeside eller mine partneres integrationer?
De anbefalede indstillinger (begge 'same-origin') er designet til at være sikre. COOP klipper kun linket til vinduer din side åbner i popups — normal browsing, dine egne sider og almindelige links er upåvirket. CORP stopper kun *andre* sider fra at integrere dine billeder og scripts; din egen side indlæser sine egne ressourcer præcis som før. Den der genuint risikerer brud er COEP — hold den fra medmindre testet.
Hvad koster 'hotlinking' mig faktisk?
Når en anden side integrerer dit billede eller script direkte fra din server i stedet for at hoste sin egen kopi, downloader enhver besøgende på deres side det fra dig — på din båndbreddekonto, og dit ressource vises i en kontekst du ikke godkendte. For en lille virksomhed er det sjældent katastrofalt, men det er gratis penge ud ad døren, og CORP ('same-origin') stopper det på browserniveau.
Hvad ser 'godt' ud som for hver af disse?
COOP: et Cross-Origin-Opener-Policy-header sat til 'same-origin'. CORP: et Cross-Origin-Resource-Policy-header sat til 'same-origin'. COEP: et Cross-Origin-Embedder-Policy-header — og sætter du det overhovedet, er 'credentialless' den sikrere værdi end 'require-corp'. Vores rapport noterer simpelthen, om hvert er til stede og hvad det er sat til; det straffer dig aldrig for et manglende.