Defaults.Exposed › Behebungen › Cross-Origin-Isolations-Header (COOP / CORP / COEP)
So beheben Sie Cross-Origin-Isolations-Header (COOP / CORP / COEP)
Drei optionale Browser-Anweisungen, die steuern, wie andere Websites mit Ihrer interagieren dürfen — sie in Popups öffnen, ihre Bilder und Skripte einbetten oder ihre Ressourcen in eigene Seiten ziehen. Sie sind moderne Härtung, kein Grund-Muss, und in unserer Bewertung sind sie informativ: ihr Fehlen senkt Ihre Note nicht. Doch die zwei sicheren schließen eine stille Phishing- und Bandbreitendiebstahl-Lücke, und das IT-Team eines sorgfältigen Käufers bemerkt, wenn sie vorhanden sind.
Das Wichtigste für Ihr Unternehmen: Zwei dieser drei Header unterbinden ausgefeiltes Popup-Phishing und hindern andere Seiten daran, Ihre Bilder und Skripte per Hotlinking abzugreifen (was Sie Bandbreite kostet und Daten leaken kann). Sie sind kostenlos, dauern für eine Entwicklerin rund 15 Minuten und zerbrechen nichts. Der dritte ist fortgeschritten und kann Analytik, Schriften und Einbettungen zerbrechen — die meisten Unternehmen sollten ihn ausgeschaltet lassen. Keiner beeinflusst Ihre Note, also behandeln Sie es als Feinschliff, nicht als Panik: machen Sie die zwei sicheren, lassen Sie den riskanten aus, sofern Sie ihn nicht ausdrücklich brauchen.
Was Sie das kosten kann
- Ein Betrüger öffnet Ihre echte Seite in einem Popup-Fenster und behält Fernkontrolle darüber — und leitet Ihren Kunden still auf einen gefälschten Login um, sobald er wegschaut. Der sichere Header (COOP) durchtrennt diese Kontrollverbindung vollständig.
- Andere Websites betten Ihre Produktfotos, Logos und Skripte direkt von Ihrem Server ein (Hotlinking) — Sie zahlen jedes Mal die Bandbreite, wenn deren Besucher die Seite laden, und Ihre Assets erscheinen auf Seiten, die Sie nie gutheißen würden.
- Das Sicherheitsteam eines Interessenten führt vor der Unterschrift einen Header-Scan durch und sieht, dass Sie moderne Cross-Origin-Härtung ergänzt haben — kleines Signal, aber es bringt Sie in die Spalte 'die nehmen das ernst' statt 'das Nötigste'.
- Eine Entwicklerin schaltet, gründlich sein wollend, den fortgeschrittenen Isolations-Header (COEP) ohne Test ein — und zerbricht über Nacht Ihre Google Analytics, Web-Schriften und das eingebettete Buchungs-Widget. Zu wissen, welcher Header sicher und welcher riskant ist, verhindert einen selbstverschuldeten Ausfall.
- Die Checkliste eines Prüfers erwähnt Cross-Origin-Isolation; Sie zeigen lieber 'vorhanden und korrekt' bei den zwei sicheren, als zu erklären, warum gar nichts da ist.
Warum es wichtig ist. Dies sind zukunftsgerichtete Browser-Härtungs-Header. In unserer Methodik sind alle drei informativ — sie sind mit null Punkten registriert und bewegen Ihre Note nie —, weil es fortgeschrittene Kontrollen sind, ohne die eine Seite legitim auskommen kann, und weil einer davon bei falscher Anwendung schaden kann. Wir berichten darüber, damit Sie sehen, wo Sie stehen. Die zwei sicheren (COOP und CORP) sind wirklich hinzufügenswert: kostenlos, schnell, und sie schließen echte Popup-Phishing- und Ressourcendiebstahl-Lücken, ohne etwas zu zerbrechen.
Worum es geht, in einfachen Worten
Wenn jemand Ihre Website besucht, lädt sein Browser nicht nur Ihre Seiten isoliert — er entscheidet auch, wie andere Websites mit Ihrer interagieren dürfen. Darf eine andere Seite Ihre Seite in einem Popup öffnen und festhalten? Darf eine andere Seite hinübergreifen und Ihre Bilder und Skripte in eigene Seiten einbetten? Kann Ihre eigene Seite bestimmte mächtige, abgeriegelte Browser-Funktionen sicher nutzen?
Diese drei Header sind kurze, unsichtbare Anweisungen, die Ihre Website dem Browser jedes Besuchers sendet, um genau diese Fragen zu beantworten. Sie sind unter ihren Kürzeln bekannt:
- COOP — Cross-Origin-Opener-Policy. Steuert, ob andere Seiten, die Ihre in einem Popup-Fenster öffnen, Fernkontrolle darüber behalten können.
- CORP — Cross-Origin-Resource-Policy. Steuert, ob andere Seiten Ihre Bilder, Skripte und sonstigen Dateien in eigene Seiten einbetten dürfen.
- COEP — Cross-Origin-Embedder-Policy. Eine fortgeschrittene Kontrolle, die, kombiniert mit COOP, Ihre Seite “isoliert”, sodass sie bestimmte mächtige Browser-Funktionen sicher nutzen kann.
Zwei davon (COOP und CORP) sind sicher hinzuzufügen und wirklich nützlich. Der dritte (COEP) ist fortgeschritten und kann Dinge zerbrechen, wenn unbedacht eingeschaltet.
Das Wichtigste vorweg: in unserer Bewertung sind alle drei informativ. Sie beeinflussen Ihre Note nicht. Ein fehlender kostet Sie nichts. Wir berichten darüber, damit Sie sehen, wo Sie stehen, und die leichten Gewinne aufräumen — nicht, damit Sie wegen einer Zahl in Panik geraten.
Was Sie das kosten kann
Dies sind Nischenrisiken, keine Schlagzeilen — aber sie sind real, und die Behebungen sind kostenlos.
-
Popup-Phishing, das Fernkontrolle über Ihre echte Seite behält. Ohne COOP kann die Seite eines Betrügers Ihre tatsächliche Website in einem Popup-Fenster öffnen und eine Live-Referenz darauf halten. Während die Aufmerksamkeit Ihres Kunden auf der Seite des Betrügers liegt, kann der Angreifer dieses Popup — Ihre echte Domain in der Adresszeile — genau in dem Moment auf einen gefälschten Login- oder Zahlungsbildschirm umleiten, in dem der Kunde sich wieder zuwendet. COOP auf “same-origin” durchtrennt diese Kontrollverbindung, sodass das Popup nicht ferngesteuert werden kann.
-
Andere Seiten, die Ihre Bandbreite stehlen (und Ihre Assets dorthin setzen, wo Sie sie nicht wollen). Ohne CORP kann jede Website im Internet Ihre Produktfotos, Logos, Skripte und sonstigen Dateien direkt von Ihrem Server einbetten — “Hotlinking”. Jeder Besucher ihrer Seite lädt die Datei von Ihnen herunter, auf Ihrer Bandbreitenrechnung, mit Ihrem Asset in einem Kontext, den Sie nie gutgeheißen haben. CORP auf “same-origin” hindert fremde Seiten daran, Ihre Ressourcen einzubetten.
-
Ein stiller Datenleck-Weg für fortgeschrittene Browser-Angriffe. Dasselbe Cross-Origin-Einbetten, das Hotlinking ermöglicht, ist auch einer der Wege, die ausgefeilte Seitenkanal-Browser-Angriffe (die Spectre-Familie) nutzen, um Daten zu lesen, die sie nicht sollten. COOP und CORP zusammen schließen diesen Weg auf Browser-Ebene. Für die meisten kleinen Unternehmen ist das doppelte Absicherung, aber es ist kostenlose doppelte Absicherung.
-
Ein selbstverschuldeter Ausfall durch den falschen Header. Der fortgeschrittene, COEP, verlangt, dass sich jede Ressource, die Ihre Seite lädt, ausdrücklich anmeldet. Schalten Sie ihn ohne Test ein, können Ihre Analytik, Web-Schriften, eingebetteten Karten, Buchungs-Widgets und Drittskripte alle aufhören zu laden — weil keines davon gebeten wurde, sich anzumelden. Das ist die eine Art, wie diese Header Ihnen wirklich schaden können, und sie ist ganz vermeidbar: aktivieren Sie COEP nicht ohne Test.
-
Ein verpasstes leichtes Signal an sorgfältige Käufer. Wenn das IT-Team eines Interessenten vor der Unterschrift Ihre Header scannt, ist moderne Cross-Origin-Härtung vorzufinden ein kleines, aber echtes Signal “diese Leute nehmen Sicherheit ernst”. Es gewinnt einen Abschluss nicht allein — aber es ist kostenlos, auf der richtigen Seite dieses Kontos zu stehen.
Was jeder davon tatsächlich ist
COOP — Cross-Origin-Opener-Policy (sicher, empfohlen)
Öffnet eine andere Website Ihre per Popup oder window.open, können die beiden Fenster normalerweise eine Referenz aufeinander behalten. Diese Verbindung ist missbrauchbar: der Öffner kann Ihr Fenster manipulieren oder umleiten, Fragmente seiner URL lesen und überzeugendes Phishing mit Ihrer echten Domain inszenieren. COOP: same-origin bricht diese Beziehung — Ihr Fenster wird von allem isoliert, das es über Origins hinweg geöffnet hat. Normales Surfen, Ihre eigenen internen Links und gewöhnliche Navigation sind völlig unberührt.
Wie “gut” aussieht: Cross-Origin-Opener-Policy: same-origin.
CORP — Cross-Origin-Resource-Policy (sicher, empfohlen)
Standardmäßig können Ihre Bilder, Skripte und sonstigen Dateien von jeder Seite überall eingebettet werden. CORP: same-origin weist Browser an, das Cross-Origin-Einbetten Ihrer Ressourcen zu verweigern — sodass andere Seiten Ihre Assets nicht per Hotlinking abgreifen oder in eigene Seiten ziehen können. Ihre eigene Seite lädt ihre eigenen Ressourcen genau wie zuvor; nur fremde Seiten werden blockiert.
Wie “gut” aussieht: Cross-Origin-Resource-Policy: same-origin. (Veröffentlichen Sie absichtlich Assets, die andere einbetten sollen — ein öffentliches Logo, eine offene API —, kann Ihre Entwicklerin dies für diese bestimmten Antworten lockern.)
COEP — Cross-Origin-Embedder-Policy (fortgeschritten, meist ausgeschaltet lassen)
COEP vervollständigt die “Cross-Origin-Isolation”: kombiniert mit COOP verlangt es, dass sich jede Ressource, die Ihre Seite lädt, ausdrücklich anmeldet (via CORS oder CORP). Richtig gemacht, schaltet das bestimmte mächtige Browser-Funktionen frei (wie SharedArrayBuffer) und fügt eine weitere Schicht gegen Spectre-artige Angriffe hinzu. Aber weil es von allem, das Sie laden, eine Anmeldung verlangt, zerbricht es leicht Drittwerkzeuge — Analytik, Schriften, eingebettete Widgets —, die nicht zum Anmelden gebaut wurden. Die meisten Websites brauchen die Funktionen nicht, die es freischaltet, und sollten das Bruchrisiko nicht tragen.
Wie “gut” aussieht: für die seltene Seite, die ihn braucht, Cross-Origin-Embedder-Policy: credentialless — der sicherere Wert, der externe Ressourcen seltener zerbricht als require-corp. Für alle anderen ist abwesend in Ordnung, und unser Bericht bestraft Sie dafür nicht.
So beheben Sie es (kostenlos, ~15 Minuten)
Geben Sie das an Ihre IT-Kraft oder Webentwicklerin — die Behebung ist kostenlos. COOP und CORP hinzuzufügen sind ein paar einzeilige Einstellungen auf Ihrem Server oder CDN; es gibt keine Lizenz und keine laufenden Kosten. Die einzige Anweisung für die Inhaberin lautet: machen Sie die zwei sicheren und aktivieren Sie COEP nicht ohne Test.
Dies sind Antwort-Header, dort gesetzt, wo die Antworten Ihrer Seite erzeugt werden — am einfachsten in Ihrem CDN (z. B. Cloudflare), falls vorhanden, sonst in Ihrer Webserver-Konfiguration.
Die zwei sicheren Header (für alle empfohlen)
Cloudflare — Rules → Transform Rules → Modify Response Headers → Set:
Cross-Origin-Opener-Policy=same-originCross-Origin-Resource-Policy=same-origin
Nginx:
add_header Cross-Origin-Opener-Policy "same-origin" always;
add_header Cross-Origin-Resource-Policy "same-origin" always;
Apache:
Header always set Cross-Origin-Opener-Policy "same-origin"
Header always set Cross-Origin-Resource-Policy "same-origin"
Diese sind sicher hinzuzufügen und zerbrechen die normale Funktion nicht. Laden Sie nach dem Ausrollen ein paar Seiten neu und bestätigen Sie, dass die Seite sich genau wie zuvor verhält (das sollte sie).
Der fortgeschrittene Header (nur wenn Sie ihn ausdrücklich brauchen)
Schalten Sie diesen nicht ein, ohne zuerst in einer Staging-Umgebung zu testen. COEP kann Analytik, Schriften und eingebettete Widgets zerbrechen.
Cloudflare: Transform Rules → Cross-Origin-Embedder-Policy = credentialless setzen.
Nginx:
add_header Cross-Origin-Embedder-Policy "credentialless" always;
Nutzen Sie credentialless statt require-corp — es zerbricht externe Ressourcen seltener. Testen Sie gründlich in der Staging-Umgebung; achten Sie auf jedes Drittskript, jede Schrift oder Einbettung, die aufhört zu laden. Geht etwas kaputt und Sie brauchen die von COEP freigeschalteten Funktionen nicht wirklich, entfernen Sie den Header einfach — es gibt keine Strafe dafür, ihn nicht zu haben.
Plattform-Hinweise
- Google Workspace / Microsoft 365: diese betreiben Ihre E-Mail, nicht Ihre Website, hier gibt es also nichts zu setzen. Diese Header gehören dorthin, wo Ihre Website gehostet wird (Ihr CDN, Host oder Server).
- Gängige verwaltete Hosts / Seiten-Baukästen (Wix, Squarespace, Shopify usw.): benutzerdefinierte Antwort-Header sind auf niedrigeren Tarifen womöglich nicht konfigurierbar. Können Sie sie nicht hinzufügen, ist das in Ordnung — diese sind informativ und beeinflussen Ihre Note nicht. Ihre Seite hinter ein CDN wie Cloudflare zu stellen ist der übliche Weg, Header-Kontrolle zu gewinnen.
- WordPress auf eigenem Hosting: setzen Sie sie in Ihrer Webserver-Konfiguration (Nginx/Apache oben) oder über Ihr CDN, möglichst nicht in einem Plugin — Server-/CDN-Ebene ist sauberer und gilt für jede Antwort.
Häufige Fehler
- COEP “zur Gründlichkeit” aktivieren und die Seite zerbrechen. Das ist der große. COEP verlangt eine Anmeldung von allem, das Sie laden; schalten Sie ihn ohne Test ein, können Ihre Analytik, Schriften und Einbettungen verschwinden. Brauchen Sie die freigeschalteten Browser-Funktionen nicht, setzen Sie ihn nicht.
- Diese als dringend behandeln, weil ein Scanner sie erwähnte. Sie sind informativ. Die bewerteten Web-Header (HTTPS, HSTS, CSP, Clickjacking, MIME-Sniffing) kommen zuerst — beheben Sie die, bevor Sie hier Energie aufwenden.
- CORP zu streng setzen, obwohl Sie tatsächlich einbettbare Assets veröffentlichen. Liefern Sie absichtlich ein Logo, Abzeichen oder eine API für andere Seiten, blockiert ein pauschales
same-origin-CORP sie. Lockern Sie es nur für diese Antworten, statt den Header überall aufzugeben. - Den Header auf Seiten-/App-Ebene hinzufügen und einige Antworten verfehlen. Setzen Sie sie auf Server- oder CDN-Ebene, damit sie für jede Antwort gelten (Bilder, Skripte, API-Endpunkte), nicht nur für HTML-Seiten.
- Diese mit dem SSL-Schloss verwechseln. HTTPS verschlüsselt die Verbindung; diese steuern die seitenübergreifende Interaktion. Sie sind unverbunden, und Sie wollen beide.
Eine Anmerkung zur Note
Um es ganz klar zu sagen: keine dieser drei Prüfungen beeinflusst Ihre Note. Sie sind in unserer Methodik als informativ mit null Punkten registriert, und ein fehlender kostet Sie nie etwas. Wir bringen sie zur Sprache, weil die zwei sicheren günstige, echte Verbesserungen sind und weil das Gesamtbild zu sehen nützlich ist — nicht, weil es eine Zahl zu verteidigen gäbe. Tun Sie hier nichts, ist Ihre Note exakt dieselbe. Fügen Sie COOP und CORP hinzu, haben Sie ein paar echte (wenn auch nischige) Lücken kostenlos geschlossen. So sollte man diese Seite betrachten: optionaler Feinschliff, mit einer klar markierten Falle, die zu meiden ist.
FAQ
Diese beeinflussen meine Note nicht — soll ich mich überhaupt darum kümmern?
Um zwei davon, ja; um einen, eher nicht. COOP und CORP sind kostenlos, dauern Minuten und zerbrechen Ihre Seite nicht — sie schließen echte (wenn auch nischige) Angriffswege, also lohnen sie sich als günstige Hygiene. COEP ist fortgeschritten und kann Drittwerkzeuge zerbrechen, also sollten die meisten Unternehmen ihn ausgeschaltet lassen, sofern sie nicht ausdrücklich die Browser-Funktionen brauchen, die er freischaltet. Keiner der drei ändert Ihren Wert in irgendeine Richtung, also gibt es keine Dringlichkeit — behandeln Sie die zwei sicheren als Aufräumen, wenn Ihre Entwicklerin das nächste Mal in der Seite ist.
Ich bin nicht technisch — muss ich das anpacken?
Nicht persönlich und nicht dringend. Weil diese informativ sind, passiert Ihrer Note nichts Schlimmes, wenn Sie sie auslassen. Möchten Sie die zwei sicheren ergänzen, geben Sie den Abschnitt 'So beheben Sie es' an die Person weiter, die Ihre Website oder Ihr CDN verwaltet — es sind ein paar einzeilige Einstellungen und die Behebung ist kostenlos. Der einzige, den man ausdrücklich markieren sollte, ist COEP: sagen Sie ihnen, ihn nicht ohne Test einzuschalten, weil er Analytik und eingebettete Widgets zerbrechen kann.
Was unterscheidet diese von den Headern, die meine Note SEHR WOHL beeinflussen?
Die bewerteten Web-Sicherheits-Header — HTTPS-Weiterleitung, HSTS, Content-Security-Policy, Clickjacking-Schutz (X-Frame-Options) und MIME-Sniffing-Schutz — wehren gängige, breit ausgenutzte Angriffe ab, daher kostet ihr Fehlen Punkte. Die drei auf dieser Seite (COOP, CORP, COEP) sind neuere, spezialisiertere Browser-Isolationskontrollen. Sie sind gute Praxis, aber noch keine Grunderwartung, daher berichten wir sie, ohne sie zu bewerten. Machen Sie die bewerteten zuerst; diese sind Feinschliff obendrauf.
Zerbricht das Hinzufügen von COOP oder CORP meine Website oder die Integrationen meiner Partner?
Die empfohlenen Einstellungen (beide 'same-origin') sind auf Sicherheit ausgelegt. COOP durchtrennt nur die Verbindung zu Fenstern, die Ihre Seite in Popups öffnet — normales Surfen, Ihre eigenen Seiten und gewöhnliche Links sind unberührt. CORP hindert nur *andere* Seiten daran, Ihre Bilder und Skripte einzubetten; Ihre eigene Seite lädt ihre eigenen Ressourcen genau wie zuvor. Liefern Sie tatsächlich Assets (etwa ein öffentliches Logo oder eine API), die andere Seiten einbetten sollen, kann Ihre Entwicklerin für diese bestimmten Antworten eine freizügigere Einstellung nutzen. Der einzige, der wirklich Bruchrisiko birgt, ist COEP — lassen Sie den aus, sofern nicht getestet.
Was kostet mich 'Hotlinking' wirklich?
Bettet eine andere Seite Ihr Bild oder Skript direkt von Ihrem Server ein, statt eine eigene Kopie zu hosten, lädt jeder Besucher ihrer Seite es von Ihnen herunter — auf Ihrer Bandbreitenrechnung und mit Ihrem Asset in einem Kontext, den Sie nicht gutgeheißen haben. Für ein kleines Unternehmen ist das selten katastrophal, aber es ist Geld, das zur Tür hinausgeht, und CORP ('same-origin') stoppt es auf Browser-Ebene. Es schließt außerdem einen subtilen Datenleck-Weg, auf den sich fortgeschrittene (Spectre-artige) Browser-Angriffe stützen.
Wie sieht 'gut' für jeden davon aus?
COOP: ein Cross-Origin-Opener-Policy-Header auf 'same-origin' gesetzt. CORP: ein Cross-Origin-Resource-Policy-Header auf 'same-origin' gesetzt. COEP: ein Cross-Origin-Embedder-Policy-Header — und falls Sie ihn überhaupt setzen, ist 'credentialless' der sicherere Wert als 'require-corp'. Unser Bericht vermerkt schlicht, ob jeder vorhanden ist und worauf er gesetzt ist; er bestraft Sie nie für einen fehlenden. Streben Sie COOP und CORP vorhanden an; lassen Sie COEP abwesend, sofern Sie ihn nicht getestet haben.