Defaults.Exposed › Remedieri › Antete de izolare cross-origin (COOP / CORP / COEP)

Cum să remediezi Antete de izolare cross-origin (COOP / CORP / COEP)

Trei instrucțiuni opționale de browser care controlează modul în care alte site-uri web au voie să interacționeze cu al tău — deschizându-l în popup-uri, încorporând imaginile și scripturile lui sau trăgând resursele lui în propriile lor pagini. Sunt întărire modernă, nu o necesitate de bază, iar pe notarea noastră sunt informaționale: lipsa lor nu scade nota. Dar cele două sigure închid un decalaj silențios de phishing și furt de lățime de bandă, iar echipa IT a unui cumpărător atent va observa când sunt prezente.

Concluzia pentru afacerea ta: Două din aceste trei antete opresc phishingul sofisticat de popup și împiedică alte site-uri să hotlinkeze imaginile și scripturile tale (ceea ce îți costă lățime de bandă și poate scurge date). Sunt gratuite, durează un dezvoltator aproximativ 15 minute și nu vor strica nimic. Al treilea este avansat și poate strica analitica, fonturile și embeddingurile — cele mai multe afaceri ar trebui să îl lase dezactivat. Niciunul din ele nu îți afectează nota, deci tratează-le ca poleire, nu panică: fă cele două sigure, omite pe cel riscant dacă nu ai nevoie de el specific.

Ce te poate costa

Un escroc deschide site-ul tău real într-un popup și îl menține sub control de la distanță — redirecționând în tăcere clientul tău spre un login fals în momentul în care se uită în altă parte. Antetul sigur (COOP) taie complet acea legătură de control.
Alte site-uri web încorporează fotografiile, logourile și scripturile tale direct de pe serverul tău (hotlinking) — tu plătești pentru lățime de bandă de fiecare dată când vizitatorii lor încarcă pagina, iar asseturile tale apar pe site-uri pe care nu le-ai aproba niciodată.
Echipa de securitate a unui prospect rulează o scanare de antete înainte de semnare și vede că ai adăugat întărire modernă cross-origin — semnal mic, dar te plasează în coloana 'ei iau asta în serios' în loc de 'minimum de bază'.
Un dezvoltator, încercând să fie amănunțit, activează antetul avansat de izolare (COEP) fără testare — și strica Google Analytics, fonturile web și widget-ul de rezervări incorporat peste noapte. Știind care antet este sigur și care este riscant evită o întrerupere auto-inflixtă.
Lista de verificare a unui auditor menționează izolarea cross-origin; ai prefera să arăți 'prezent și corect' pe cele două sigure decât să explici de ce nu este nimic acolo.

De ce contează. Acestea sunt antete de întărire a browserului orientate spre viitor. Pe metodologia noastră toate trei sunt informaționale — sunt înregistrate cu zero puncte și nu schimbă niciodată nota — deoarece sunt controale avansate pe care un site le poate opera în mod legitim fără, și unul din ele poate face rău dacă este aplicat greșit. Le raportăm astfel că poți vedea unde te afli. Cele două sigure (COOP și CORP) merită cu adevărat să fie adăugate: gratuite, rapide și închid decalaje reale de phishing de popup și furt de resurse fără să strice nimic.

Ce sunt, în cuvinte simple

Când cineva vizitează site-ul tău web, browserul lor nu numai îți încarcă paginile în izolare — decide de asemenea cum alte site-uri web au voie să interacționeze cu al tău. Poate un alt site să deschidă site-ul tău într-un popup și să îl mențină? Poate un alt site să ajungă și să încorporeze imaginile și scripturile tale în propriile lor pagini? Poate propriul tău site să folosească în siguranță anumite funcționalități puternice, blocate ale browserului?

Aceste trei antete sunt instrucțiuni scurte și invizibile pe care site-ul tău le trimite browserului fiecărui vizitator pentru a răspunde exact la acele întrebări. Sunt cunoscute prin inițialele lor:

COOP — Cross-Origin-Opener-Policy. Controlează dacă alte site-uri care îl deschid pe al tău într-un popup îl pot menține sub control de la distanță.
CORP — Cross-Origin-Resource-Policy. Controlează dacă alte site-uri au voie să încorporeze imaginile, scripturile și alte fișiere ale tale în propriile lor pagini.
COEP — Cross-Origin-Embedder-Policy. Un control avansat care, combinat cu COOP, “izolează” pagina ta astfel că poate folosi în siguranță anumite funcționalități puternice ale browserului.

Două din ele (COOP și CORP) sunt sigure de adăugat și cu adevărat utile. Al treilea (COEP) este avansat și poate strica lucruri dacă este activat fără grijă.

Cel mai important lucru de știut dinainte: pe notarea noastră, toate trei sunt informaționale. Ele nu îți afectează nota. Un lipsă nu te costă nimic. Le raportăm astfel că poți vedea unde te afli și poți face câștiguri ușoare — nu pentru că te panichezi la un număr.

Ce te poate cost

Acestea sunt riscuri de nișă, nu din prima pagină — dar sunt reale, iar remedierile sunt gratuite.

Phishing de popup care menține controlul de la distanță al site-ului tău real. Fără COOP, pagina unui escroc poate deschide site-ul tău real într-un popup și ține o referință live la el. În timp ce atenția clientului tău este pe pagina escrocului, atacatorul poate redirecționa acel popup — domeniul tău real în bara de adrese — spre un ecran fals de autentificare sau plată exact în momentul când clientul se întoarce la el. COOP setat la “same-origin” taie acea legătură de control astfel că popup-ul nu poate fi puppeteered.
Alte site-uri furând lățimea ta de bandă (și punând asseturile tale unde nu le vrei). Fără CORP, orice site web de pe internet poate încorpora fotografiile, logourile, scripturile și alte fișiere ale tale direct de pe serverul tău — “hotlinking.” Fiecare vizitator al paginii lor descarcă fișierul de la tine, pe factura ta de lățime de bandă, cu assetul tău apărând într-un context pe care nu l-ai aprobat niciodată. CORP setat la “same-origin” oprește site-urile externe să încorporeze resursele tale.
O cale silențioasă de scurgere a datelor pentru atacuri avansate de browser. Același embedding cross-origin care permite hotlinking-ul este de asemenea una din căile pe care atacurile sofisticate de canal lateral (familia Spectre) le folosesc pentru a citi date pe care nu ar trebui. COOP și CORP împreună închid acea cale la nivelul browserului.
O întrerupere auto-inflixtă din antetul greșit. COEP avansată cere că fiecare resursă pe care pagina ta o încarcă să opteze în mod explicit. Activează-o fără testare și analitica ta, fonturile web, hărțile incorporate, widget-urile de rezervări și scripturile terțe pot toate să nu se mai încarce. Aceasta este singura modalitate prin care aceste antete te pot răni cu adevărat și este complet evitabilă: nu activa COEP fără testare.
Un semnal ușor omis pentru cumpărătorii atenți. Când echipa IT a unui prospect te scanează înainte de semnare, găsirea întăririi cross-origin moderne în vigoare este un semnal mic dar real “acești oameni iau securitatea în serios”. Nu va câștiga o tranzacție de unul singur — dar este gratuit să ai pe partea dreaptă a acelui registru.

Ce este de fapt fiecare

COOP — Cross-Origin-Opener-Policy (sigur, recomandat)

Când un alt site web îl deschide pe al tău folosind un popup sau window.open, cele două ferestre pot în mod normal să mențină o referință una la cealaltă. Acea legătură poate fi abuzată. COOP: same-origin rupe acea relație — fereastra ta devine izolată de orice a deschis-o din alte origini.

Cum arată “bine”: Cross-Origin-Opener-Policy: same-origin.

CORP — Cross-Origin-Resource-Policy (sigur, recomandat)

Implicit, imaginile, scripturile și alte fișiere ale tale pot fi încorporate de orice site oriunde. CORP: same-origin spune browserelor să refuze încorporarea cross-origin a resurselor tale — astfel alte site-uri nu pot hotlinka asseturile tale sau le pot trage în paginile lor. Propriul tău site tot își încarcă propriile resurse exact ca înainte; numai site-urile externe sunt blocate.

Cum arată “bine”: Cross-Origin-Resource-Policy: same-origin.

COEP — Cross-Origin-Embedder-Policy (avansat, de obicei lasă dezactivat)

COEP completează “izolarea cross-origin”: combinat cu COOP, necesită că fiecare resursă pe care pagina ta o încarcă să opteze explicit (prin CORS sau CORP). Făcut corect, aceasta deblochează anumite funcționalități puternice ale browserului (precum SharedArrayBuffer) și adaugă un alt strat împotriva atacurilor de clasa Spectre. Dar deoarece necesită opt-in de la tot ce încarci, strică ușor instrumente terțe. Cele mai multe site-uri nu au nevoie de funcționalitățile pe care le deblochează și nu ar trebui să poarte riscul de rupere.

Cum arată “bine”: pentru site-ul rar care are nevoie de el, Cross-Origin-Embedder-Policy: credentialless — valoarea mai sigură, mai puțin probabil să spargă resurse externe decât require-corp. Pentru toți ceilalți, absent este bine, iar raportul nostru nu te va penaliza pentru asta.

Cum se remediază (gratuit, ~15 minute)

Predă asta persoanei IT sau dezvoltatorului web — remedierea este gratuită. Adăugarea COOP și CORP sunt câteva setări pe o linie pe serverul sau CDN-ul tău; nu există licență și niciun cost continuu. Singura instrucțiune pentru proprietar este: fă cele două sigure și nu activa COEP fără testare.

Acestea sunt antete de răspuns, setate oriunde sunt produse răspunsurile site-ului tău — cel mai ușor la CDN-ul tău (de exemplu Cloudflare) dacă ai unul, altfel în configurația serverului web.

Cele două antete sigure (recomandate pentru toată lumea)

Cloudflare — Reguli → Reguli de transformare → Modifică antetele de răspuns → Setează:

Cross-Origin-Opener-Policy = same-origin
Cross-Origin-Resource-Policy = same-origin

Nginx:

add_header Cross-Origin-Opener-Policy   "same-origin" always;
add_header Cross-Origin-Resource-Policy "same-origin" always;

Apache:

Header always set Cross-Origin-Opener-Policy   "same-origin"
Header always set Cross-Origin-Resource-Policy "same-origin"

Acestea sunt sigure de adăugat și nu vor strica funcționalitatea normală. După deployare, reîncarcă câteva pagini și confirmă că site-ul se comportă exact ca înainte.

Antetul avansat (numai dacă ai nevoie specific de el)

Nu activa asta fără testare mai întâi în staging. COEP poate strica analitica, fonturile și widget-urile incorporate.

Cloudflare: Reguli de transformare → Setează Cross-Origin-Embedder-Policy = credentialless.

Nginx:

add_header Cross-Origin-Embedder-Policy "credentialless" always;

Folosește credentialless mai degrabă decât require-corp — este mai puțin probabil să spargă resurse externe. Testează amănunțit în staging; urmărește orice script terț, font sau embedding care nu mai se încarcă. Dacă ceva se strică și nu ai nevoie de fapt de funcționalitățile pe care COEP le deblochează, pur și simplu elimină antetul — nu există nicio penalitate pentru a nu îl avea.

Note pe platformă

Google Workspace / Microsoft 365: acestea îți alimentează email-ul, nu site-ul tău web, deci nu există nimic de setat aici. Aceste antete aparțin oriunde îți găzduiești de fapt site-ul web.
Gazde gestionate comune / constructori de site-uri (Wix, Squarespace, Shopify etc.): antetele de răspuns personalizate pot să nu fie configurabile pe planurile mai scăzute. Dacă nu le poți adăuga, este bine — acestea sunt informaționale și nu îți afectează nota. Punerea site-ului în spatele unui CDN precum Cloudflare este modalitatea obișnuită de a câștiga controlul antetului.

Greșeli comune

Activând COEP “pentru a fi amănunțit” și stricând site-ul. Aceasta este cea mare. COEP necesită opt-in de la tot ce incarci; activează-o fără testare și analitica, fonturile și embeddingurile pot dispărea. Dacă nu ai nevoie de funcționalitățile browserului pe care le deblochează, nu îl seta.
Tratând acestea ca urgente deoarece un scanner le-a menționat. Sunt informaționale. Antetele web notate (HTTPS, HSTS, CSP, clickjacking, MIME-sniffing) vin mai întâi — remediază-le pe acelea înainte de a petrece energie aici.
Setând CORP prea strict când publici de fapt asseturi încorporabile. Dacă servești intenționat un logo, insignă sau API pentru alte site-uri care să le folosească, un CORP same-origin general le va bloca. Relaxează-l numai pe acele răspunsuri specifice mai degrabă decât să abandonezi antetul peste tot.
Confuzând acestea cu lacătul SSL. HTTPS criptează conexiunea; acestea controlează interacțiunea cross-site. Sunt fără legătură și vrei ambele.

O notă despre notă

Pentru a fi complet clar: niciunul din aceste trei verificări nu îți afectează nota. Sunt înregistrate în metodologia noastră ca informaționale, cu zero puncte, și un lipsă nu te costă niciodată nimic. Le facem vizibile deoarece cele două sigure sunt îmbunătățiri ieftine și autentice și deoarece a vedea imaginea completă este utilă — nu pentru că există un număr de apărat. Dacă nu faci nimic aici, nota ta este exact aceeași. Dacă adaugi COOP și CORP, ai închis câteva decalaje reale (dacă de nișă) gratuit. Acesta este modul corect de a gândi despre această pagină: poleire opțională, cu o capcană clar etichetată de evitat.

Întrebări frecvente

Acestea nu îmi afectează nota — ar trebui să mă deranjeze deloc?

Două din ele, da; una, probabil că nu. COOP și CORP sunt gratuite, durează minute și nu vor strica site-ul tău — închid căi de atac reale (dacă de nișă), deci merită să le faci ca igienă ieftină. COEP este avansat și poate strica instrumente terțe, deci cele mai multe afaceri ar trebui să îl lase dezactivat dacă nu au nevoie specific de funcționalitățile browserului pe care le deblochează. Niciunul din cele trei nu schimbă scorul tău în oricare direcție, deci nu există urgență — tratează cele două sigure ca o curățenie data viitoare când dezvoltatorul tău este în site.

Nu sunt tehnic — este ceva ce trebuie să acționez?

Nu personal și nu urgent. Deoarece acestea sunt informaționale, nu se întâmplă nimic rău la nota ta dacă le omiți. Dacă ai dori să adaugi cele două sigure, predă secțiunea 'Cum se remediază' celui care gestionează site-ul sau CDN-ul tău — sunt câteva setări pe o linie și remedierea este gratuită. Singurul de semnalat explicit este COEP: spune-le să nu îl activeze fără testare, deoarece poate strica analitica și widget-urile incorporate.

Care este diferența dintre acestea și antetele care ÎMI AFECTEAZĂ nota?

Antetele de securitate web notate — redirecționarea HTTPS, HSTS, Politica de Securitate a Conținutului, protecția clickjacking (X-Frame-Options) și protecția MIME-sniffing — apără împotriva atacurilor comune și larg exploatate, deci lipsa lor costă puncte. Cele trei de pe această pagină (COOP, CORP, COEP) sunt controale de izolare a browserului mai noi și mai specializate. Sunt bune practici dar nu sunt încă așteptare de bază, deci le raportăm fără a le nota. Fă mai întâi pe cele notate; acestea sunt poleire deasupra.

Va strica adăugarea COOP sau CORP site-ul meu sau integrările partenerilor?

Setările recomandate (ambele 'same-origin') sunt concepute să fie sigure. COOP numai taie legătura cu ferestrele pe care site-ul tău le deschide în popup-uri — navigarea normală, propriile tale pagini și linkurile ordinare sunt neafectate. CORP numai oprește *alte* site-uri să încorporeze imaginile și scripturile tale; propriul tău site își încarcă propriile resurse exact ca înainte. Cel care riscă cu adevărat să strice este COEP — menține-l dezactivat dacă nu este testat.

Ce mă costă de fapt 'hotlinking'?

Când un alt site îți încorporează imaginea sau scriptul direct de pe serverul tău în loc să găzduiască propria copie, fiecare vizitator al paginii lor îl descarcă de la tine — pe factura ta de lățime de bandă și arătând assetul tău într-un context pe care nu l-ai aprobat. CORP ('same-origin') îl oprește la nivelul browserului. De asemenea închide o cale subtilă de scurgere a datelor pe care atacurile avansate (clasa Spectre) a browserului se bazează.

Cum arată 'bine' pentru fiecare din acestea?

COOP: un antet Cross-Origin-Opener-Policy setat la 'same-origin'. CORP: un antet Cross-Origin-Resource-Policy setat la 'same-origin'. COEP: un antet Cross-Origin-Embedder-Policy — și dacă îl setezi deloc, 'credentialless' este valoarea mai sigură decât 'require-corp'. Raportul nostru pur și simplu notează dacă fiecare este prezent și la ce este setat; nu te penalizează niciodată pentru unul lipsă. Țintește COOP și CORP prezente; lasă COEP absent dacă nu l-ai testat.