Cross-Origin Headers für TYPO3

CORP, COEP und COOP gegen Spectre-Angriffe — TypoScript-Konfiguration mit Extension-Kompatibilitätshinweisen.

TYPO3 · Schritt für Schritt

Von Wolf-Agents Security Team · Aktualisiert: 27. März 2026

Cross-Origin Headers in TYPO3

Cross-Origin Headers (COOP, CORP, COEP) schützen gegen Spectre-artige Seitenkanalangriffe, indem sie die Isolation zwischen Origins im Browser verstärken. Mit 30 von 166 Punkten sind sie der zweitwichtigste Bereich im Wolf-Agents Web Security Check.

In TYPO3 setzen Sie COOP und CORP per TypoScript. Vorsicht bei COEP: require-corp kann TYPO3-Extensions blockieren, die externe Ressourcen laden (YouTube, Google Maps, CDN-Assets). Testen Sie gründlich bevor Sie COEP im Frontend aktivieren.

Ausführliche Einführung in Cross-Origin Headers

1Implementierung

COOP und CORP per TypoScript

Beginnen Sie mit COOP und CORP — diese Header verursachen selten Probleme. COEP sollten Sie erst nach ausführlichem Testen aktivieren.

# TypoScript Setup — Cross-Origin Headers
config.additionalHeaders {
    10.header = Cross-Origin-Opener-Policy: same-origin
    20.header = Cross-Origin-Resource-Policy: same-origin
}

COEP mit Vorsicht: Cross-Origin-Embedder-Policy: require-corp blockiert alle Cross-Origin-Ressourcen, die kein Cross-Origin-Resource-Policy: cross-origin setzen. YouTube-Embeds, Google Fonts und viele CDN-Assets funktionieren dann nicht mehr. Verwenden Sie credentialless als Alternative.

2Verifizierung

Header verifizieren

Prüfen Sie alle drei Cross-Origin Header.

vendor/bin/typo3 cache:flush
curl -sI https://ihre-domain.de | grep -i cross-origin

Häufige Fehler

YouTube/Vimeo Embeds brechen

COEP require-corp blockiert Embeds von YouTube und Vimeo. Lösung: COEP weglassen oder credentialless verwenden, das Embeds ohne Credentials erlaubt.

Google Fonts blockiert

Google Fonts setzt kein Cross-Origin-Resource-Policy Header. Mit COEP require-corp werden die Fonts blockiert. Hosten Sie Fonts lokal oder verzichten Sie auf COEP.

SharedArrayBuffer nicht verfügbar

Falls Sie SharedArrayBuffer benötigen (z.B. für WebAssembly), müssen Sie Cross-Origin Isolation vollständig aktivieren: COOP same-origin + COEP require-corp.

Extension-Assets blockiert

Extensions, die Assets von CDNs laden, können durch CORP same-origin blockiert werden. Prüfen Sie alle Extensions in den DevTools auf blockierte Requests.

Compliance-Relevanz

Cross-Origin Headers sind eine Defense-in-Depth-Maßnahme gegen Spectre-Angriffe und Datenlecks. Der Wolf-Agents Web Security Check bewertet COOP, CORP und COEP mit insgesamt bis zu 30 Punkten — der zweitgrößte Einzelposten nach CSP.

Auch verfügbar für:

Nginx Apache WordPress Next.js Cloudflare Express Caddy Shopify Hetzner Laravel Drupal IONOS All-Inkl Shopware Contao Strato Joomla PHP Spring Boot

Wie steht Ihre Domain bei Cross-Origin Headers?

Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 166 Prüfpunkte.

Web Security Check starten Monitoring ab 199 EUR/Mo