Cross-Origin Headers für Laravel konfigurieren
Schritt-für-Schritt-Anleitung: Cross-Origin Headers in Laravel einrichten — mit Middleware-Code zum Kopieren und Best Practices.
Cross-Origin Headers in Laravel
Cross-Origin Headers (COOP, CORP, COEP) schützen gegen Spectre-Seitenkanalangriffe und kontrollieren den Zugriff auf Ressourcen über Origin-Grenzen. Mit 30 von 166 Punkten einer der einflussreichsten Header-Gruppen im Web Security Check.
In Laravel implementieren Sie die drei Header in einer eigenen Middleware oder als Teil der SecurityHeaders-Middleware. COOP isoliert den Browsing Context, CORP schützt Ressourcen und COEP erzwingt Cross-Origin-Isolation für SharedArrayBuffer.
Cross-Origin Headers in der Middleware konfigurieren
Fügen Sie den Header in Ihrer SecurityHeaders-Middleware hinzu. Der Header wird bei jedem Response automatisch gesetzt.
// app/Http/Middleware/SecurityHeaders.php
// Cross-Origin Isolation
$response->headers->set('Cross-Origin-Opener-Policy', 'same-origin');
$response->headers->set('Cross-Origin-Resource-Policy', 'same-origin');
// COEP nur aktivieren wenn SharedArrayBuffer benötigt wird
// $response->headers->set('Cross-Origin-Embedder-Policy', 'require-corp');
// Für die meisten Laravel-Apps empfohlen:
$response->headers->set('Cross-Origin-Embedder-Policy', 'credentialless');Konfiguration verifizieren
Prüfen Sie alle drei Header mit curl -sI https://ihre-domain.de | grep -i cross-origin.
Häufige Fehler
COEP blockiert Third-Party-Ressourcen
require-corp blockiert alle Cross-Origin-Ressourcen ohne explizites CORP-Header. Verwenden Sie credentialless als sicherere Alternative, die Third-Party-Ressourcen ohne Credentials erlaubt.
COOP bricht Popup-Flows
same-origin isoliert den Browsing Context. OAuth-Popups und Payment-Flows (Stripe, PayPal) können dadurch brechen. Testen Sie diese Flows gründlich nach der Aktivierung.
Compliance-Relevanz
Wie steht Ihre Domain bei Cross-Origin Headers?
Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 166 Prüfpunkte.