Cross-Origin Headers (CORP/COEP/COOP) in Joomla konfigurieren
Cross-Origin Headers (CORP/COEP/COOP) in Joomla aktivieren — über das Built-in HTTP Headers Plugin (seit Joomla 4.0) oder .htaccess-Fallback. Mit vollständiger Verifizierung und Joomla-spezifischen Troubleshooting-Tipps.
Cross-Origin Headers (CORP/COEP/COOP) in Joomla
Cross-Origin Headers (CORP/COEP/COOP) schützen gegen Spectre-Seitenkanalattacken und kontrollieren Cross-Origin-Ressourcenzugriff. Mit 30 von 166 Punkten im Wolf-Agents Web Security Check ist dieser Header ein wichtiger Faktor für die Gesamtbewertung Ihrer Joomla-Installation. Ohne korrekte Konfiguration verlieren Sie wertvolle Punkte, die den Unterschied zwischen einer guten und einer mittelmäßigen Security-Bewertung ausmachen können.
Cross-Origin Headers bestehen aus drei Headern: COOP (Cross-Origin-Opener-Policy), COEP (Cross-Origin-Embedder-Policy) und CORP (Cross-Origin-Resource-Policy). Beginnen Sie mit COOP same-origin, da COEP require-corp Extensions brechen kann. Das Plugin funktioniert auf jedem Hosting — inklusive Shared Hosting ohne SSH-Zugriff oder Server-Konfigurationszugang. Die Alternative ist die .htaccess-Methode als Apache-Fallback, die Sie nutzen können, wenn das Plugin aus technischen Gründen nicht verfügbar ist. Bei beiden Methoden gilt: Nach jeder Änderung den Joomla-Cache leeren.
Der Wolf-Agents Web Security Check analysiert die Cross-Origin Headers (CORP/COEP/COOP)-Konfiguration Ihrer Joomla-Installation und zeigt exakt, ob der Header korrekt gesetzt ist, welcher Wert verwendet wird und ob es Verbesserungspotenzial gibt. Über das Web Scan Monitoring werden Sie automatisch per E-Mail benachrichtigt, wenn sich die Konfiguration nach einem Joomla-Update, Extension-Installation oder Server-Migration unbeabsichtigt ändert.
Ausführliche Einführung in Cross-Origin Headers (CORP/COEP/COOP)
Cross-Origin Headers (CORP/COEP/COOP)-Implementierung in Joomla
Cross-Origin Headers bestehen aus drei Headern: COOP (Cross-Origin-Opener-Policy), COEP (Cross-Origin-Embedder-Policy) und CORP (Cross-Origin-Resource-Policy). Beginnen Sie mit COOP same-origin, da COEP require-corp Extensions brechen kann. Die Konfiguration über das Built-in HTTP Headers Plugin ist der empfohlene Weg — eine vollständige GUI im Joomla-Backend unter System → Plugins → System - HTTP Headers, keine Code-Änderungen nötig und keine Server-Konfiguration erforderlich. Alle Einstellungen werden sofort nach dem Speichern wirksam. Die .htaccess-Methode dient als Fallback für Apache-Setups, in denen das Plugin nicht genutzt werden kann. Nutzen Sie niemals beide Methoden gleichzeitig — doppelte Header führen zu unvorhersehbarem Browser-Verhalten.
# HTTP Headers Plugin → Tab: HTTP Headers
# (Built-in seit Joomla 4.0)
Neuer Header hinzufügen:
HTTP Header: Cross-Origin Headers
Header Wert: same-origin
# → Speichern → System → Cache leeren# .htaccess — Cross-Origin Headers Fallback
<IfModule mod_headers.c>
Header always set Cross-Origin Headers "same-origin"
</IfModule>Nach Änderungen am HTTP Headers Plugin oder der .htaccess: php cli/joomla.php cache:clean ausführen oder im Backend unter System → Cache leeren. Drittanbieter-Cache-Extensions wie JotCache oder LiteSpeed Cache können veraltete Header zwischenspeichern.
Verifizierung
Nach der Konfiguration im HTTP Headers Plugin oder der .htaccess leeren Sie den
Joomla-Cache über php cli/joomla.php cache:clean oder im Backend unter
System → Cache leeren. Prüfen Sie den Header anschließend per curl auf
verschiedenen Seitentypen — Startseite, Beiträge, Kontaktformulare, Kategorie-Seiten
und den Admin-Bereich unter /administrator. Wichtig: Einige Header werden
nur über HTTPS gesendet — testen Sie niemals über eine HTTP-URL. Prüfen Sie auch,
ob ein CDN oder Reverse-Proxy (Cloudflare, Varnish) den Header eventuell entfernt
oder überschreibt. Nutzen Sie den Wolf-Agents
Web Security Check für eine vollständige Analyse aller 16 Header-Kategorien
mit konkreter Punktbewertung.
# 1. Joomla-Cache leeren
php cli/joomla.php cache:clean
# 2. Header prüfen
curl -sI https://ihre-domain.de | grep -i cross-origin
# Erwartete Ausgabe:
# cross-origin-opener-policy: same-origin
# 3. Auf verschiedenen Seitentypen testen
curl -sI https://ihre-domain.de/beispiel-beitrag | grep -i cross-origin
# 4. Admin-Bereich testen
curl -sI https://ihre-domain.de/administrator | grep -i cross-originHäufige Fehler bei Cross-Origin Headers (CORP/COEP/COOP) in Joomla
COEP require-corp bricht Extensions mit externen Ressourcen
COEP erfordert, dass alle eingebetteten Ressourcen CORP-Header oder das crossorigin-Attribut haben. Viele Joomla-Extensions laden externe Bilder, Scripts oder iframes. Beginnen Sie nur mit COOP und fügen Sie COEP später hinzu.
HTTP Headers Plugin deaktiviert — Cross-Origin-Schutz fehlt
Ohne aktives Plugin werden keine Cross-Origin-Header gesetzt. Browser-Tabs können dann prozessübergreifend auf Speicherdaten zugreifen — ein Risiko für Spectre-Angriffe.
Google Maps, YouTube oder Social Media Widgets blockiert
Eingebettete Inhalte von Drittanbietern werden durch COEP blockiert, wenn der Drittanbieter keinen CORP-Header sendet. Nutzen Sie das crossorigin="anonymous"-Attribut oder verzichten Sie auf COEP.
SharedArrayBuffer nicht verfügbar ohne COEP+COOP
Einige JavaScript-Bibliotheken (WebAssembly, Worker) benötigen SharedArrayBuffer, der nur mit COOP same-origin + COEP require-corp verfügbar ist. Wenn Sie diese APIs nicht brauchen, genügt COOP allein.
Compliance-Relevanz
Cross-Origin Headers (CORP/COEP/COOP) erfüllt konkrete Anforderungen aus mehreren Compliance-Frameworks, die für Unternehmen in der EU verbindlich sind. Fehlende oder falsch konfigurierte Header werden bei Sicherheits-Audits, Penetrationstests und automatisierten Compliance-Scans als Schwachstelle gewertet. Die korrekte Konfiguration über das Joomla HTTP Headers Plugin dokumentiert Ihre technischen Maßnahmen und stärkt Ihre Position bei NIS2-Audits.
Wie steht Ihre Domain bei Cross-Origin Headers?
Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 166 Prüfpunkte.