Defaults.Exposed › Fikser › Kryssopprinnelses-isolasjon-topptekster (COOP / CORP / COEP)

Slik fikser du Kryssopprinnelses-isolasjon-topptekster (COOP / CORP / COEP)

Tre valgfrie nettleserinstruksjoner som kontrollerer hvordan andre nettsteder har lov til å samhandle med ditt — åpne det i vinduer, bygge inn bilder og skript, eller hente ressursene inn på sine egne sider. De er moderne herding, ikke et grunnleggende must-ha, og på vår scoring er de informative: å mangle dem senker ikke karakteren din. Men de to trygge lukker et stille phishing- og båndbreddegap, og et nøye kjøpers IT-team vil legge merke til når de er til stede.

Bunnlinjen for virksomheten din: To av disse tre topptekstene stenger ned sofistikert popup-phishing og stopper andre sider fra å laste inn bildene og skriptene dine direkte fra serveren (hotlinking), noe som koster deg båndbredde og kan lekke data. De er gratis, tar en utvikler omtrent 15 minutter, og vil ikke ødelegge noe. Den tredje er avansert og kan ødelegge analyse, skrifttyper og innebygd innhold — de fleste virksomheter bør la den stå av. Ingen av dem påvirker karakteren, så behandle dem som polering, ikke panikk: gjør de to trygge, hopp over den risikable med mindre du spesifikt trenger den.

Hva dette kan koste deg

En svindler åpner det ekte nettstedet ditt i et popup-vindu og beholder fjernstyring av det — omdirigerer stille kunden din til en falsk innlogging i det øyeblikket de ser bort. Den trygge toppteksten (COOP) kutter den styringsforbindelsen fullstendig.
Andre nettsteder bygger inn produktbildene, logoene og skriptene dine direkte fra serveren (hotlinking) — du betaler for båndbredden hver gang besøkende på siden deres laster siden, og eiendelene dine dukker opp på sider du aldri ville godkjent.
Et prospekts sikkerhetsteam kjører en topptekst-skanning før de signerer og ser at du har lagt til moderne kryssopprinnelses-herding — lite signal, men det plasserer deg i 'de tar dette seriøst'-kolonnen i stedet for 'grunnleggende minimum'.
En utvikler, som prøver å være grundig, slår på den avanserte isolasjons-toppteksten (COEP) uten testing — og ødelegger Google Analytics, nettfonter og innebygde bookingwidgets over natten. Å vite hvilken topptekst som er trygg og hvilken som er risikabel unngår en selvforårsaket driftsstans.
En revisors sjekkliste nevner kryssopprinnelses-isolasjon; du vil heller vise 'til stede og korrekt' på de to trygge enn å forklare hvorfor ingenting er der i det hele tatt.

Hvorfor det er viktig. Dette er fremtidsrettede nettleser-herdingstopptekster. I vår metodikk er alle tre informative — de er registrert med null poeng og påvirker aldri karakteren din — fordi de er avanserte kontroller som en side legitimt kan operere uten, og en av dem kan gjøre skade hvis de brukes feil. Vi rapporterer om dem slik at du kan se hvor du står. De to trygge (COOP og CORP) er genuint verdt å legge til: gratis, raske, og de lukker reelle popup-phishing- og ressursstjeling-gap uten å ødelegge noe.

Hva disse er, i enkle ord

Når noen besøker nettstedet ditt, laster ikke nettleseren bare sidene dine isolert — den bestemmer også hvordan andre nettsteder har lov til å samhandle med ditt. Kan et annet nettsted åpne ditt i et popup-vindu og beholde kontroll over det? Kan et annet nettsted rekke inn og bygge inn bilder og skript fra deg i sine egne sider? Kan din egen side trygt bruke visse kraftige, låste-ned nettleserfunksjoner?

Disse tre topptekstene er korte, usynlige instruksjoner nettstedet ditt sender til alle besøkendes nettlesere for å svare på nøyaktig disse spørsmålene. De er kjent ved initialene sine:

COOP — Cross-Origin-Opener-Policy. Kontrollerer om andre sider som åpner din i et popup-vindu kan beholde fjernstyring av det.
CORP — Cross-Origin-Resource-Policy. Kontrollerer om andre sider har lov til å bygge inn bilder, skript og andre filer dine i sine egne sider.
COEP — Cross-Origin-Embedder-Policy. En avansert kontroll som, kombinert med COOP, «isolerer» siden din slik at den trygt kan bruke visse kraftige nettleserfunksjoner.

To av dem (COOP og CORP) er trygge å legge til og genuint nyttige. Den tredje (COEP) er avansert og kan ødelegge ting hvis den slås på uforsiktig.

Det viktigste å vite på forhånd: på vår scoring er alle tre informative. De påvirker ikke karakteren din. En manglende koster deg ingenting. Vi rapporterer om dem slik at du kan se hvor du står og rydde opp i de enkle gevinstene — ikke slik at du panikker om et tall.

Hva dette kan koste deg

Dette er nisje-risikoer, ikke overskriftsrisikoer — men de er reelle, og fiksene er gratis.

Popup-phishing som beholder fjernstyring av den ekte siden din. Uten COOP kan en svindlers side åpne det ekte nettstedet ditt i et popup-vindu og beholde en live referanse til det. Mens kundens oppmerksomhet er på svindlerens side, kan angriperen omdirigere det popup-vinduet — ditt ekte domene i adresselinjen — til en falsk innloggings- eller betalingsskjerm i nøyaktig det øyeblikket kunden snur seg tilbake til det. COOP satt til «same-origin» kutter den styringsforbindelsen slik at popup-vinduet ikke kan fjernstyres.
Andre sider som stjeler båndbredden din (og plasserer eiendelene dine der du ikke ønsker dem). Uten CORP kan ethvert nettsted på internett bygge inn produktbilder, logoer, skript og andre filer dine rett fra serveren din — «hotlinking». Hver besøkende på siden deres laster ned filen fra deg, på båndbredderegningen din, med eiendelen din synlig i en kontekst du aldri godkjente. CORP satt til «same-origin» stopper utenforstående sider fra å bygge inn ressursene dine.
En stille datalekkasje-sti for avanserte nettleseangrep. Den samme kryssopprinnelses-innbyggingen som muliggjør hotlinking er også en av stiene som sofistikerte, sidekanal-nettleseangrep (Spectre-familien) bruker til å lese data de ikke burde. COOP og CORP sammen stenger den stien på nettlesernivå. For de fleste små virksomheter er dette belt-og-bukseseler, men det er gratis belt-og-bukseseler.
En selvforårsaket driftsstans fra feil topptekst. Den avanserte, COEP, krever at alle ressurser siden din laster eksplisitt melder seg på. Slå den på uten testing og analyse, nettfonter, innebygde kart, bookingwidgets og tredjeparts skript kan alle slutte å laste — fordi ingen av dem ble bedt om å melde seg på. Dette er den ene måten disse topptekstene faktisk kan skade deg, og det er helt unngåelig: ikke aktiver COEP uten testing.
Et savnet enkelt signal til forsiktige kjøpere. Når et prospekts IT-team skanner topptekstene dine før de signerer, er det å finne moderne kryssopprinnelses-herding på plass et lite, men reelt «disse menneskene tar sikkerhet seriøst»-signal. Det vil ikke vinne en avtale alene — men det er gratis å ha på riktig side av det regnestykket.

Hva hvert enkelt faktisk er

COOP — Cross-Origin-Opener-Policy (trygg, anbefalt)

Når et annet nettsted åpner ditt ved å bruke et popup-vindu eller window.open, kan de to vinduene normalt beholde en referanse til hverandre. Den forbindelsen kan misbrukes: åpneren kan manipulere eller omdirigere vinduet ditt, lese fragmenter av URL-en, og iscenesette overbevisende phishing ved å bruke det ekte domenet ditt. COOP: same-origin bryter det forholdet — vinduet ditt blir isolert fra alt som åpnet det på tvers av opprinnelser. Normal surfing, egne interne lenker og vanlig navigasjon er fullstendig upåvirket.

Hva «bra» ser ut som: Cross-Origin-Opener-Policy: same-origin.

CORP — Cross-Origin-Resource-Policy (trygg, anbefalt)

Som standard kan bilder, skript og andre filer dine bygges inn av enhver side hvor som helst. CORP: same-origin forteller nettlesere å nekte kryssopprinnelses-innbygging av ressursene dine — slik at andre sider ikke kan laste ned eiendelene dine eller trekke dem inn på sidene sine. Din egen side laster fortsatt egne ressurser nøyaktig som før; bare utenforstående sider er blokkert.

Hva «bra» ser ut som: Cross-Origin-Resource-Policy: same-origin. (Hvis du bevisst publiserer eiendeler for andre å bygge inn — en offentlig logo, et åpent API — kan utvikleren din lette på dette for de spesifikke svarene.)

COEP — Cross-Origin-Embedder-Policy (avansert, la den vanligvis stå av)

COEP fullfører «kryssopprinnelses-isolasjon»: kombinert med COOP krever det at alle ressurser siden din laster eksplisitt melder seg på (via CORS eller CORP). Gjort riktig låser dette opp visse kraftige nettleserfunksjoner (som SharedArrayBuffer) og legger til et annet lag mot Spectre-klasse angrep. Men fordi det krever opt-in fra alt du laster, bryter det lett tredjepartsverktøy — analyse, skrifttyper, innebygde widgets — som ikke var bygget for å melde seg på. De fleste nettsteder trenger ikke funksjonene det låser opp og bør ikke bære risikoen for å ødelegge ting.

Hva «bra» ser ut som: for den sjeldne siden som trenger det, Cross-Origin-Embedder-Policy: credentialless — den sikrere verdien, mindre sannsynlig å ødelegge eksterne ressurser enn require-corp. For alle andre er fraværende fint, og rapporten vår vil ikke straffe deg for det.

Slik fikser du det (gratis, ~15 minutter)

Gi dette til IT-personen din eller webutvikleren — fiksen er gratis. Å legge til COOP og CORP er et par en-linjes innstillinger på serveren eller CDN-en din; det er ingen lisens og ingen løpende kostnad. Den eneste instruksjonen til eieren er: gjør de to trygge, og ikke aktiver COEP uten testing.

Disse er svarhodet, satt der nettstedets svar produseres — lettest på CDN-en (f.eks. Cloudflare) hvis du har en, ellers i nettserverconfigurationen.

De to trygge topptekstene (anbefalt for alle)

Cloudflare — Regler → Transformasjonsregler → Modifiser svarhodet → Sett:

Cross-Origin-Opener-Policy = same-origin
Cross-Origin-Resource-Policy = same-origin

Nginx:

add_header Cross-Origin-Opener-Policy   "same-origin" always;
add_header Cross-Origin-Resource-Policy "same-origin" always;

Apache:

Header always set Cross-Origin-Opener-Policy   "same-origin"
Header always set Cross-Origin-Resource-Policy "same-origin"

Disse er trygge å legge til og vil ikke ødelegge normal funksjonalitet. Etter distribusjon, last inn noen sider og bekreft at siden oppfører seg nøyaktig som før (det bør den).

Den avanserte toppteksten (kun hvis du spesifikt trenger den)

Ikke slå dette på uten å teste i staging først. COEP kan ødelegge analyse, skrifttyper og innebygde widgets.

Cloudflare: Transformasjonsregler → Sett Cross-Origin-Embedder-Policy = credentialless.

Nginx:

add_header Cross-Origin-Embedder-Policy "credentialless" always;

Bruk credentialless heller enn require-corp — det er mindre sannsynlig å ødelegge eksterne ressurser. Test grundig i staging; se etter tredjeparts skript, skrifttype eller innbygging som slutter å laste. Hvis noe går i stykker og du faktisk ikke trenger funksjonene COEP låser opp, fjern ganske enkelt toppteksten — det er ingen straff for å ikke ha den.

Plattformnotater

Google Workspace / Microsoft 365: disse driver e-posten din, ikke nettstedet ditt, så det er ingenting å sette her. Disse topptekstene tilhører det som er vert for nettstedet ditt (CDN-en, webhotellet eller serveren din).
Vanlige administrerte webhotell / nettstedsbyggere (Wix, Squarespace, Shopify, osv.): egendefinerte svarhodet kan ikke konfigureres på lavere abonnement. Hvis du ikke kan legge dem til, er det fint — disse er informative og påvirker ikke karakteren din. Å plassere siden bak en CDN som Cloudflare er den vanlige måten å få topptekstkontroll.
WordPress på eget webhotell: sett dem i nettserverconfigurasjonen (Nginx/Apache ovenfor) eller via CDN-en din, ikke i et plugin der det er mulig — server/CDN-nivå er renere og gjelder for hvert svar.

Vanlige feil

Aktivere COEP «for å være grundig» og ødelegge siden. Dette er den store. COEP krever opt-in fra alt du laster; flip den på uten testing og analyse, skrifttyper og innbygging kan forsvinne. Hvis du ikke trenger nettleserfunksjonene den låser opp, ikke sett den.
Behandle disse som haster fordi en skanner nevnte dem. De er informative. De scorede web-topptekstene (HTTPS, HSTS, CSP, clickjacking, MIME-sniffing) kommer først — fiks de før du bruker energi her.
Sette CORP for strengt når du faktisk publiserer innbyggbare eiendeler. Hvis du bevisst betjener en logo, et merke eller et API for andre sider å bruke, vil en blanket same-origin CORP blokkere dem. Slapp av på bare de svarene heller enn å forlate toppteksten overalt.
Legge til toppteksten på side-/app-nivå og gå glipp av noen svar. Sett dem på server- eller CDN-nivå slik at de gjelder for hvert svar (bilder, skript, API-endepunkter), ikke bare HTML-sider.
Forveksle disse med SSL-hengelåsen. HTTPS krypterer tilkoblingen; disse kontrollerer kryssside-samhandling. De er urelaterte, og du vil ha begge.

En merknad om karakter

For å si det helt tydelig: ingen av disse tre sjekkene påvirker karakteren din. De er registrert i metodikken vår som informative, med null poeng, og en manglende koster deg aldri noe. Vi viser dem fordi de to trygge er billige, genuine forbedringer og fordi det er nyttig å se hele bildet — ikke fordi det er et tall å forsvare. Hvis du ikke gjør noe her, er karakteren din nøyaktig den samme. Hvis du legger til COOP og CORP, har du lukket et par reelle (om enn nisje) gap gratis. Det er den riktige måten å tenke på denne siden: valgfri polering, med én tydelig merket felle å unngå.

FAQ

Disse påvirker ikke karakteren min — skal jeg i det hele tatt bry meg?

To av dem, ja; én, sannsynligvis ikke. COOP og CORP er gratis, tar minutter, og vil ikke ødelegge siden din — de lukker reelle (om enn nisje) angrepsstier, så de er verdt å gjøre som billig hygiene. COEP er avansert og kan ødelegge tredjepartsverktøy, så de fleste virksomheter bør la den stå av med mindre de spesifikt trenger nettleserfunksjonene den låser opp. Ingen av de tre endrer scoren din uansett, så det er ingen hast — behandle de to trygge som en rydding neste gang utvikleren din er inne på siden.

Jeg er ikke teknisk anlagt — er dette noe jeg må gjøre noe med?

Ikke personlig, og ikke haster. Fordi disse er informative, skjer ingenting vondt med karakteren din hvis du hopper over dem. Hvis du ønsker å legge til de to trygge, gi «Slik fikser du det»-seksjonen til den som administrerer nettstedet eller CDN-en din — det er et par en-linjes innstillinger og fiksen er gratis. Den eneste du bør flagge eksplisitt er COEP: si at de ikke skal slå den på uten testing, fordi den kan ødelegge analyse og innebygde widgets.

Hva er forskjellen mellom disse og topptekstene som faktisk påvirker karakteren min?

De scorede web-sikkerhetstopptekstene — HTTPS-omdirigering, HSTS, Content-Security-Policy, clickjacking-beskyttelse (X-Frame-Options) og MIME-sniffing-beskyttelse — forsvarer mot vanlige, mye-utnyttede angrep, så å mangle dem koster poeng. De tre på denne siden (COOP, CORP, COEP) er nyere, mer spesialiserte nettleser-isolasjonskontroller. De er god praksis, men ennå ikke grunnleggende forventning, så vi rapporterer dem uten å score dem. Gjør de scorede først; disse er polering på toppen.

Vil det å legge til COOP eller CORP ødelegge nettstedet mitt eller partnerintegrasjoner?

De anbefalte innstillingene (begge 'same-origin') er designet for å være trygge. COOP kutter bare forbindelsen til vinduer siden din åpner i popup-vinduer — normal surfing, egne sider og vanlige lenker er upåvirket. CORP stopper bare *andre* sider fra å bygge inn bilder og skript fra deg; din egen side laster egne ressurser nøyaktig som før. Hvis du faktisk betjener eiendeler (som en offentlig logo eller et API) som andre sider er ment å bygge inn, kan utvikleren bruke en mer tillatende innstilling på de spesifikke svarene. Den som genuint risikerer å ødelegge noe er COEP — hold den av med mindre den er testet.

Hva koster 'hotlinking' meg, egentlig?

Når et annet nettsted bygger inn bildet eller skriptet ditt rett fra serveren i stedet for å hoste sin egen kopi, laster hver besøkende på siden deres det ned fra deg — på båndbredderegningen din, og viser eiendelen din i en kontekst du ikke godkjente. For en liten virksomhet er det sjelden katastrofalt, men det er gratis penger ut av lommen, og CORP ('same-origin') stopper det på nettlesernivå. Det lukker også en subtil datalekkasje-sti som avanserte (Spectre-klasse) nettleseangrep er avhengige av.

Hva ser 'bra' ut som for hver av disse?

COOP: en Cross-Origin-Opener-Policy-topptekst satt til 'same-origin'. CORP: en Cross-Origin-Resource-Policy-topptekst satt til 'same-origin'. COEP: en Cross-Origin-Embedder-Policy-topptekst — og hvis du setter den i det hele tatt, er 'credentialless' den sikrere verdien enn 'require-corp'. Rapporten vår noterer ganske enkelt om hver er til stede og hva den er satt til; den straffer aldri deg for en manglende. Sikt mot COOP og CORP til stede; la COEP være fraværende med mindre du har testet den.