Defaults.Exposed › Διορθώσεις › Headers απομόνωσης cross-origin (COOP / CORP / COEP)
Πώς να διορθώσετε Headers απομόνωσης cross-origin (COOP / CORP / COEP)
Τρεις προαιρετικές οδηγίες browser που ελέγχουν πώς επιτρέπεται σε άλλους ιστότοπους να αλληλεπιδρούν με τον δικό σας — ανοίγοντάς τον σε παράθυρα popup, ενσωματώνοντας εικόνες και scripts ή αντλώντας τα resources του στις δικές τους σελίδες. Είναι σύγχρονη σκλήρυνση, όχι βασικό must-have, και στη βαθμολογία μας είναι πληροφοριακές: η απουσία τους δεν μειώνει τη βαθμολογία σας. Αλλά οι δύο ασφαλείς κλείνουν ένα αθόρυβο κενό phishing και κλοπής εύρους ζώνης, και μια προσεκτική ομάδα ΙΤ αγοραστή θα το παρατηρήσει όταν υπάρχουν.
Ουσία για την επιχείρησή σας: Δύο από αυτές τις τρεις headers κλείνουν εξελιγμένο popup-phishing και σταματούν άλλους ιστότοπους από το να χρησιμοποιούν κατευθείαν εικόνες και scripts σας. Είναι δωρεάν, χρειάζονται περίπου 15 λεπτά, και δεν θα σπάσουν τίποτα. Η τρίτη είναι προχωρημένη και μπορεί να σπάσει analytics, fonts και embeds — οι περισσότερες επιχειρήσεις πρέπει να την αφήσουν απενεργοποιημένη. Καμία από αυτές δεν επηρεάζει τη βαθμολογία σας.
Τι μπορεί να σας κοστίσει αυτό
- Ένας απατεώνας ανοίγει τον πραγματικό σας ιστότοπο σε popup παράθυρο και κρατά τηλεχειρισμό του — αθόρυβα ανακατευθύνοντας τον πελάτη σας σε ψεύτικη σύνδεση τη στιγμή που κοιτάει αλλού. Η ασφαλής header (COOP) κόβει εντελώς αυτή τη σύνδεση ελέγχου.
- Άλλοι ιστότοποι ενσωματώνουν κατευθείαν φωτογραφίες προϊόντων, λογότυπα και scripts σας από τον server σας — πληρώνετε για το εύρος ζώνης κάθε φορά που επισκέπτες φορτώνουν τη σελίδα τους.
- Η ομάδα ασφαλείας υποψήφιου εκτελεί σάρωση header πριν υπογράψει και βλέπει ότι έχετε προσθέσει σύγχρονη σκλήρυνση cross-origin — μικρό σήμα, αλλά σας βάζει στη στήλη 'αυτοί το παίρνουν σοβαρά'.
- Ένας developer, προσπαθώντας να είναι διεξοδικός, ενεργοποιεί την προχωρημένη header απομόνωσης (COEP) χωρίς δοκιμή — και σπάει Google Analytics, web fonts και ενσωματωμένο widget κράτησης μια νύχτα.
- Λίστα ελέγχου ελεγκτή αναφέρει απομόνωση cross-origin· προτιμάτε να δείξετε 'παρόν και σωστό' στις δύο ασφαλείς παρά να εξηγείτε γιατί δεν υπάρχει τίποτα.
Γιατί έχει σημασία. Αυτές είναι headers σκλήρυνσης browser με μελλοντική προοπτική. Στη μεθοδολογία μας και οι τρεις είναι πληροφοριακές — εγγράφονται με μηδέν βαθμούς και δεν μεταβάλλουν ποτέ τη βαθμολογία σας — επειδή είναι προχωρημένοι έλεγχοι που ένας ιστότοπος μπορεί νόμιμα να λειτουργεί χωρίς, και ένας μπορεί να κάνει ζημιά αν εφαρμοστεί λανθασμένα. Τις αναφέρουμε ώστε να βλέπετε πού στέκεστε.
Με απλά λόγια
Όταν κάποιος επισκέπτεται τον ιστότοπό σας, το πρόγραμμα περιήγησης δεν φορτώνει απλώς τις σελίδες σας σε απομόνωση — αποφασίζει επίσης πώς επιτρέπεται σε άλλους ιστότοπους να αλληλεπιδρούν με τον δικό σας.
Αυτές οι τρεις headers είναι σύντομες, αόρατες οδηγίες που ο ιστότοπός σας στέλνει στο πρόγραμμα περιήγησης κάθε επισκέπτη:
- COOP — Cross-Origin-Opener-Policy. Ελέγχει αν άλλοι ιστότοποι που ανοίγουν τον δικό σας σε popup παράθυρο μπορούν να κρατούν τηλεχειρισμό του.
- CORP — Cross-Origin-Resource-Policy. Ελέγχει αν άλλοι ιστότοποι επιτρέπεται να ενσωματώνουν εικόνες, scripts και άλλα αρχεία σας στις δικές τους σελίδες.
- COEP — Cross-Origin-Embedder-Policy. Ένας προχωρημένος έλεγχος που, σε συνδυασμό με COOP, «απομονώνει» τη σελίδα σας.
Δύο από αυτές (COOP και CORP) είναι ασφαλείς να προστεθούν και πραγματικά χρήσιμες. Η τρίτη (COEP) είναι προχωρημένη και μπορεί να σπάσει πράγματα.
Το πιο σημαντικό πράγμα που πρέπει να γνωρίζετε: στη βαθμολογία μας, και οι τρεις είναι πληροφοριακές. Δεν επηρεάζουν τη βαθμολογία σας.
Τι μπορεί να σας κοστίσει
-
Popup phishing που κρατά τηλεχειρισμό του πραγματικού σας ιστότοπου. Χωρίς COOP, η σελίδα ενός απατεώνα μπορεί να ανοίξει τον πραγματικό σας ιστότοπο σε popup παράθυρο και να κρατά ζωντανή αναφορά σε αυτό. Μπορεί να ανακατευθύνει αυτό το popup στη στιγμή ακριβώς που ο πελάτης στρέφεται πίσω σε αυτό.
-
Άλλοι ιστότοποι κλέβουν το εύρος ζώνης σας. Χωρίς CORP, οποιοσδήποτε ιστότοπος στο internet μπορεί να ενσωματώσει κατευθείαν φωτογραφίες προϊόντων, λογότυπα και scripts από τον server σας.
-
Αυτοπροκληθείσα διακοπή από λάθος header. Η COEP απαιτεί ότι κάθε resource που φορτώνει η σελίδα σας opt-in ρητά. Ενεργοποιήστε την χωρίς δοκιμή και τα analytics, web fonts, ενσωματωμένοι χάρτες και scripts τρίτων μπορεί να σταματήσουν να φορτώνουν.
Τι κάνει καθεμία
COOP — Cross-Origin-Opener-Policy (ασφαλής, συνιστώμενη)
Το COOP: same-origin σπάει τη σχέση μεταξύ παραθύρων — το παράθυρό σας απομονώνεται από οτιδήποτε το άνοιξε cross-origin. Η κανονική πλοήγηση, οι δικοί σας εσωτερικοί σύνδεσμοι και η κανονική πλοήγηση δεν επηρεάζονται καθόλου.
Πώς μοιάζει το «καλό»: Cross-Origin-Opener-Policy: same-origin.
CORP — Cross-Origin-Resource-Policy (ασφαλής, συνιστώμενη)
Από προεπιλογή, εικόνες, scripts και άλλα αρχεία σας μπορούν να ενσωματωθούν από οποιονδήποτε ιστότοπο. Το CORP: same-origin λέει στα προγράμματα περιήγησης να αρνηθούν cross-origin ενσωμάτωση των resources σας.
Πώς μοιάζει το «καλό»: Cross-Origin-Resource-Policy: same-origin.
COEP — Cross-Origin-Embedder-Policy (προχωρημένο, συνήθως αφήστε ανενεργό)
Το COEP ολοκληρώνει «cross-origin απομόνωση»: απαιτεί ότι κάθε resource που φορτώνει η σελίδα σας opt-in ρητά. Ο κίνδυνος: οι περισσότεροι ιστότοποι δεν χρειάζονται τις δυνατότητες που ξεκλειδώνει και δεν πρέπει να αναλαμβάνουν τον κίνδυνο διακοπής.
Πώς μοιάζει το «καλό»: για τον σπάνιο ιστότοπο που το χρειάζεται, Cross-Origin-Embedder-Policy: credentialless. Για όλους τους άλλους, η απουσία είναι εντάξει.
Πώς να το διορθώσετε (δωρεάν, ~15 λεπτά)
Δώστε αυτό στο ΙΤ ή web developer σας. Μόνη οδηγία για τον ιδιοκτήτη: κάντε τις δύο ασφαλείς, και μην ενεργοποιείτε COEP χωρίς δοκιμή.
Οι δύο ασφαλείς headers (συνιστώμενες για όλους)
Cloudflare — Rules → Transform Rules → Modify Response Headers → Ορισμός:
Cross-Origin-Opener-Policy=same-originCross-Origin-Resource-Policy=same-origin
Nginx:
add_header Cross-Origin-Opener-Policy "same-origin" always;
add_header Cross-Origin-Resource-Policy "same-origin" always;
Apache:
Header always set Cross-Origin-Opener-Policy "same-origin"
Header always set Cross-Origin-Resource-Policy "same-origin"
Η προχωρημένη header (μόνο αν τη χρειάζεστε συγκεκριμένα)
Μην την ενεργοποιήσετε χωρίς δοκιμή σε staging πρώτα. Το COEP μπορεί να σπάσει analytics, fonts και ενσωματωμένα widgets.
Χρησιμοποιήστε credentialless αντί require-corp — είναι λιγότερο πιθανό να σπάσει εξωτερικά resources.
Συνηθισμένα λάθη
- Ενεργοποίηση COEP «για να είστε διεξοδικοί» και σπάσιμο ιστότοπου. Αυτό είναι το μεγάλο. Αναστρέψτε αν δεν χρειάζεστε τις δυνατότητες browser που ξεκλειδώνει.
- Αντιμετώπισή τους ως επείγοντα επειδή τα ανέφερε ένας scanner. Είναι πληροφοριακά. Οι βαθμολογούμενες headers web-ασφαλείας (HTTPS, HSTS, CSP, clickjacking, MIME-sniffing) έρχονται πρώτες.
- Ορισμός CORP πολύ αυστηρά όταν πραγματικά δημοσιεύετε ενσωματώσιμα assets. Αν σερβίρετε σκόπιμα logo ή API για άλλους ιστότοπους, χαλαρώστε σε εκείνες μόνο τις απαντήσεις.
- Σύγχυση με το SSL λουκέτο. Το HTTPS κρυπτογραφεί τη σύνδεση· αυτά ελέγχουν cross-site αλληλεπίδραση. Δεν σχετίζονται.
Σημείωση για τη βαθμολογία
Για να είμαστε πλήρως σαφείς: κανένα από αυτά τα τρία δεν επηρεάζει τη βαθμολογία σας. Εγγράφονται στη μεθοδολογία μας ως πληροφοριακά, με μηδέν βαθμούς, και ένα ελλείπον δεν σας κοστίζει ποτέ τίποτα. Τα επιφανίζουμε επειδή οι δύο ασφαλείς είναι φτηνές, γνήσιες βελτιώσεις. Εάν δεν κάνετε τίποτα εδώ, η βαθμολογία σας είναι ακριβώς η ίδια.
Συχνές Ερωτήσεις
Αυτά δεν επηρεάζουν τη βαθμολογία μου — αξίζει καν τον κόπο;
Δύο από αυτά, ναι· ένα, πιθανώς όχι. Τα COOP και CORP είναι δωρεάν, χρειάζονται λεπτά, και δεν θα σπάσουν τον ιστότοπό σας — κλείνουν πραγματικά (αν και niche) μονοπάτια επίθεσης. Το COEP είναι προχωρημένο και μπορεί να σπάσει εργαλεία τρίτων, οπότε οι περισσότερες επιχειρήσεις πρέπει να το αφήσουν ανενεργό εκτός αν το χρειάζονται συγκεκριμένα. Τίποτα από τα τρία δεν αλλάζει τη βαθμολογία σας ούτε αν παρόν ούτε αν απόν.
Δεν είμαι τεχνικός — χρειάζεται να ενεργήσω;
Όχι προσωπικά, και όχι επειγόντως. Επειδή είναι πληροφοριακά, τίποτα κακό δεν συμβαίνει στη βαθμολογία σας αν τα παραλείψετε. Αν θέλετε να προσθέσετε τα δύο ασφαλή, δώστε την ενότητα 'Πώς να το διορθώσετε' σε όποιον διαχειρίζεται τον ιστότοπο ή CDN σας.
Ποια είναι η διαφορά μεταξύ αυτών και των headers που ΕΠΗΡΕΑΖΟΥΝ τη βαθμολογία μου;
Οι βαθμολογούμενες headers web-ασφαλείας — ανακατεύθυνση HTTPS, HSTS, CSP, προστασία clickjacking, προστασία MIME-sniffing — αμύνονται από κοινές, ευρέως-εκμεταλλευόμενες επιθέσεις, οπότε η απουσία τους κοστίζει βαθμούς. Οι τρεις σε αυτή τη σελίδα (COOP, CORP, COEP) είναι νεότεροι, πιο εξειδικευμένοι έλεγχοι απομόνωσης browser.
Θα σπάσει η προσθήκη COOP ή CORP τον ιστότοπό μου ή τις ενσωματώσεις συνεργατών;
Οι συνιστώμενες ρυθμίσεις (και οι δύο 'same-origin') έχουν σχεδιαστεί για να είναι ασφαλείς. Το COOP μόνο κόβει τον σύνδεσμο σε παράθυρα που ο ιστότοπός σας ανοίγει σε popups. Το CORP μόνο σταματά *άλλους* ιστότοπους από το να ενσωματώνουν εικόνες και scripts σας. Αυτό που κινδυνεύει πραγματικά με σπάσιμο είναι το COEP — κρατήστε αυτό απενεργοποιημένο εκτός αν δοκιμαστεί.
Τι κοστίζει πραγματικά το 'hotlinking';
Όταν άλλος ιστότοπος ενσωματώνει εικόνα ή script σας κατευθείαν από τον server σας αντί να φιλοξενεί το δικό του αντίγραφο, κάθε επισκέπτης της σελίδας του το κατεβάζει από εσάς — στο λογαριασμό εύρους ζώνης σας. Το CORP ('same-origin') το σταματά σε επίπεδο browser.
Πώς μοιάζει το 'καλό' για καθεμία από αυτές;
COOP: header Cross-Origin-Opener-Policy ορισμένη σε 'same-origin'. CORP: header Cross-Origin-Resource-Policy ορισμένη σε 'same-origin'. COEP: header Cross-Origin-Embedder-Policy — και αν την ορίσετε καθόλου, το 'credentialless' είναι η ασφαλέστερη τιμή. Στοχεύστε COOP και CORP παρόντα· αφήστε το COEP απόν εκτός αν έχετε δοκιμάσει.