Cross-Origin Headers auf Strato konfigurieren
COOP, COEP und CORP auf Ihrem Strato Webhosting — Cross-Origin-Isolation per .htaccess für Prozess-Isolation und Spectre-Schutz.
Cross-Origin Headers auf Strato
Cross-Origin Headers aktivieren die Prozess-Isolation im Browser und schützen vor Spectre-ähnlichen Seitenkanal-Angriffen. Die drei Header — Cross-Origin-Opener-Policy (COOP), Cross-Origin-Embedder-Policy (COEP) und Cross-Origin-Resource-Policy (CORP) — arbeiten zusammen, um Cross-Origin-Isolation zu ermöglichen. Sie sind mit insgesamt 15 von 166 Punkten im Wolf-Agents Web Security Check vertreten.
Auf Strato Shared Hosting konfigurieren Sie alle drei Header per .htaccess mit mod_headers. Beachten Sie, dass die strikteste Konfiguration (same-origin und require-corp) externe Ressourcen blockieren kann — CDN-Inhalte, YouTube-Embeds und Payment-Provider-Iframes benötigen eine angepasste Konfiguration.
Wichtig: Testen Sie Cross-Origin Headers gründlich, da sie die Funktionalität von Drittanbieter-Inhalten beeinflussen. Beginnen Sie mit der weniger restriktiven Variante und verschärfen Sie schrittweise.
Cross-Origin Headers auf Strato implementieren
Laden Sie die .htaccess-Datei per FTP hoch. Wählen Sie die strikte Variante für maximale Sicherheit oder die permissive Variante, wenn Sie externe Ressourcen laden.
# .htaccess — Cross-Origin Headers
<IfModule mod_headers.c>
# Cross-Origin-Opener-Policy
Header set Cross-Origin-Opener-Policy "same-origin"
# Cross-Origin-Embedder-Policy
Header set Cross-Origin-Embedder-Policy "require-corp"
# Cross-Origin-Resource-Policy
Header set Cross-Origin-Resource-Policy "same-origin"
</IfModule># .htaccess — Cross-Origin Headers (weniger restriktiv)
# Wenn externe Ressourcen (CDN, YouTube, etc.) geladen werden
<IfModule mod_headers.c>
Header set Cross-Origin-Opener-Policy "same-origin-allow-popups"
Header set Cross-Origin-Embedder-Policy "credentialless"
Header set Cross-Origin-Resource-Policy "cross-origin"
</IfModule>// PHP Fallback — für dynamische Seiten
<?php
header("Cross-Origin-Opener-Policy: same-origin");
header("Cross-Origin-Embedder-Policy: require-corp");
header("Cross-Origin-Resource-Policy: same-origin");
?>require-corp blockiert alle externen Ressourcen ohne CORP-Header. Wenn Sie CDN-Inhalte, Google Fonts oder YouTube-Embeds nutzen, verwenden Sie credentialless statt require-corp. Verifizierung
Prüfen Sie alle drei Cross-Origin-Header per curl. Testen Sie zusätzlich im Browser, ob externe Ressourcen korrekt geladen werden.
# Cross-Origin-Header pruefen
curl -sI https://ihre-domain.de | grep -i cross-origin
# Erwartete Ausgabe:
# cross-origin-opener-policy: same-origin
# cross-origin-embedder-policy: require-corp
# cross-origin-resource-policy: same-originHäufige Fehler bei Cross-Origin Headers auf Strato
CDN-Ressourcen werden durch require-corp blockiert
COEP: require-corp blockiert alle Cross-Origin-Ressourcen, die keinen Cross-Origin-Resource-Policy-Header senden. Verwenden Sie credentialless als Alternative oder ergänzen Sie crossorigin="anonymous" bei den betroffenen Ressourcen.
YouTube und Google Maps Embeds brechen
COOP: same-origin verhindert die Kommunikation mit Popup-Fenstern (z.B. OAuth-Login). Verwenden Sie same-origin-allow-popups, wenn Ihre Website Popups für Logins oder Payment-Provider öffnet.
SharedArrayBuffer nicht verfügbar
SharedArrayBuffer und hochauflösendes Timing erfordern Cross-Origin-Isolation — dafür müssen COOP und COEP korrekt gesetzt sein. Prüfen Sie im Browser per self.crossOriginIsolated, ob die Isolation aktiv ist.
Compliance-Relevanz
Cross-Origin Headers schützen vor Seitenkanal-Angriffen und stärken die Browser-Prozess-Isolation.
Wie steht Ihre Domain bei Cross-Origin Headers?
Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 166 Prüfpunkte.