Cross-Origin-Richtlinien-Prüfer

Diese drei Header arbeiten zusammen, um Cross-Origin-Isolation in Browsern zu ermöglichen: (1) Cross-Origin-Opener-Policy (COOP) — steuert, ob Ihre Seite eine Browsing-Kontext-Gruppe mit Cross-Origin-Popups teilen kann; (2) Cross-Origin-Embedder-Policy (COEP) — erfordert, dass alle von Ihrer Seite geladenen Ressourcen explizite Cross-Origin-Berechtigung haben; (3) Cross-Origin-Resource-Policy (CORP) — steuert, wer eine bestimmte Ressource laden kann. Zusammen verhindern sie Spectre-ähnliche Seitenkanalangriffe.

Cross-Origin-Isolation ist ein Browser-Sicherheitszustand, der hochauflösende Timer (performance.now()), SharedArrayBuffer und WASM-Threads aktiviert. Diese wurden nach Entdeckung der Spectre-Sicherheitslücke deaktiviert, da sie für Timing-Angriffe ausgenutzt werden könnten. Eine Seite wird cross-origin-isoliert, wenn sie sowohl COOP: same-origin als auch COEP: require-corp (oder credentialless) setzt. Ohne Cross-Origin-Isolation sind leistungsstarke Web-Apps (WebAssembly, Audio-Worklets, Parallelberechnungen) eingeschränkt.

COEP: require-corp erfordert, dass jede Cross-Origin-Ressource explizit über einen CORS-Header oder Cross-Origin-Resource-Policy-Header opt-in. Dies ist streng, aber kann Probleme verursachen — Drittanbieter-Ressourcen ohne diese Header können nicht geladen werden. COEP: credentialless (neuer) lädt Cross-Origin-Ressourcen ohne Credentials (Cookies, Client-Zertifikate) zu senden, wodurch sie ohne CORS/CORP-Header geladen werden können, aber ihr Authentifizierungskontext entfernt wird. Credentialless ist einfacher einzusetzen, erfordert aber Browser-Unterstützung (Chrome 96+, Firefox 119+).

OAuth-Flows verwenden Popup-Fenster, die mit dem Öffner-Fenster kommunizieren müssen. Mit COOP: same-origin wird diese Kommunikation über window.opener blockiert. Lösungen: (1) Verwenden Sie COOP: same-origin-allow-popups als Zwischenschritt. (2) Verwenden Sie postMessage() statt window.opener für OAuth-Callback-Kommunikation (die meisten modernen OAuth-Bibliotheken tun dies bereits). (3) Wenn Ihr OAuth-Anbieter ein Popup öffnet, stellen Sie sicher, dass er COOP auch auf seiner Domain setzt. Viele Anbieter (Google, GitHub) unterstützen dies.

CORP verhindert, dass andere Websites Ihre privaten Ressourcen über <img>, <script> oder <iframe> einbetten. Ohne CORP kann jede Website Ihr authentifiziertes Bild unter yourapp.com/user/avatar.png laden und Informationen daraus gewinnen (z. B. ob ein Nutzer eingeloggt ist, durch Cross-Origin-Image-Probing). Setzen Sie CORP: same-origin für private Nutzer-Daten-Ressourcen und CORP: cross-origin für öffentliche CDN-Assets, die überall eingebettet werden müssen.