Cross-Origin Headers auf All-Inkl konfigurieren
CORP, COEP und COOP auf Ihrem All-Inkl Webhosting einrichten — Cross-Origin-Isolation per .htaccess gegen Spectre und Seitenkanal-Angriffe.
Cross-Origin Headers auf All-Inkl
Die Cross-Origin Header — COOP, COEP und CORP — schützen gegen Spectre-artige Seitenkanal-Angriffe, bei denen bösartiger Code Daten aus anderen Origins auslesen kann. Zusammen ermöglichen sie Cross-Origin-Isolation im Browser. Im Wolf-Agents Web Security Check sind diese Header 30 von 166 Punkten wert.
Achtung: Cross-Origin Header sind die komplexesten Security Header und können eingebettete Inhalte (YouTube, Google Maps, CDN-Ressourcen) blockieren. Auf All-Inkl Shared Hosting empfehlen wir credentialless statt require-corp für COEP — das ist kompatibler mit externen Embeds.
Cross-Origin Headers auf All-Inkl implementieren
Verwenden Sie die sichere Variante mit credentialless, wenn Ihre Website externe Ressourcen einbindet. Nur wenn alle externen Ressourcen CORS-Header senden, verwenden Sie require-corp.
# Sichere Variante: credentialless statt require-corp
# Erlaubt externe Ressourcen ohne CORS-Header
<IfModule mod_headers.c>
Header set Cross-Origin-Opener-Policy "same-origin"
Header set Cross-Origin-Embedder-Policy "credentialless"
Header set Cross-Origin-Resource-Policy "same-origin"
</IfModule># /www/htdocs/[username]/[domain]/.htaccess
<IfModule mod_headers.c>
# Cross-Origin-Opener-Policy
Header set Cross-Origin-Opener-Policy "same-origin"
# Cross-Origin-Embedder-Policy
# Vorsicht: Blockiert externe Ressourcen ohne CORS
Header set Cross-Origin-Embedder-Policy "require-corp"
# Cross-Origin-Resource-Policy
Header set Cross-Origin-Resource-Policy "same-origin"
</IfModule>// PHP-Alternative
<?php
header("Cross-Origin-Opener-Policy: same-origin");
header("Cross-Origin-Embedder-Policy: credentialless");
header("Cross-Origin-Resource-Policy: same-origin");
?>require-corp verlangt, dass jede externe Ressource einen CORS-Header sendet — blockiert YouTube, Google Fonts und Co. credentialless ist kompatibler und wird von Chrome, Edge und Firefox unterstützt. Für die meisten All-Inkl-Websites ist credentialless die bessere Wahl.
Verifizierung
Prüfen Sie alle drei Header gleichzeitig mit einem curl-Aufruf.
# Cross-Origin Header prüfen
curl -sI https://ihre-domain.de | grep -i cross-origin
# Erwartete Ausgabe:
# cross-origin-opener-policy: same-origin
# cross-origin-embedder-policy: credentialless
# cross-origin-resource-policy: same-originself.crossOriginIsolated ein. Der Wert sollte true sein. Häufige Fehler bei Cross-Origin Headers auf All-Inkl
SharedArrayBuffer braucht COEP+COOP zusammen
SharedArrayBuffer und hochauflösende Timer erfordern beide Header: COEP: require-corp (oder credentialless) und COOP: same-origin. Ein einzelner Header reicht nicht. In der All-Inkl .htaccess müssen beide im selben <IfModule>-Block stehen, damit sie konsistent gesetzt werden.
CDN-Bilder von CORP blockiert
Bilder von externen CDNs werden durch Cross-Origin-Resource-Policy: same-origin blockiert. Bei All-Inkl hosten Sie Bilder im eigenen /www/htdocs/-Verzeichnis oder setzen Sie CORP auf cross-origin für das Assets-Verzeichnis mit einer separaten <FilesMatch>-Regel in der .htaccess.
Popups und OAuth-Flows brechen ab
COOP: same-origin unterbricht die Kommunikation zwischen dem Hauptfenster und Popup-Fenstern anderer Origins (z.B. OAuth-Login mit Google/Facebook). Verwenden Sie in diesem Fall same-origin-allow-popups statt same-origin.
Compliance-Relevanz
Cross-Origin-Isolation schützt gegen fortgeschrittene Seitenkanal-Angriffe und erfüllt Anforderungen an Defense-in-Depth.
Wie steht Ihre Domain bei Cross-Origin Headers?
Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 166 Prüfpunkte.