2 Fragen zu Cors

CORS (Cross-Origin Resource Sharing) ist eine Sicherheitsfunktion, die von Webbrowsern implementiert wird, um zu kontrollieren, wie Webanwendungen Ressourcen von verschiedenen Ursprüngen (Domains) anfordern können. Eine CORS-Policy legt fest, welche Ursprünge auf Ressourcen eines Servers zugreifen dürfen und welche HTTP-Methoden und Header erlaubt sind. Standardmäßig verhindern Browser aus Sicherheitsgründen, dass Webanwendungen Anfragen an eine andere Domain als die, von der die Anwendung geladen wurde, senden. Dies wird als Same-Origin-Policy bezeichnet. CORS ermöglicht es, diese Einschränkung zu umgehen, indem der Server explizit angibt, welche Ursprünge Zugriff haben dürfen. Ein typisches CORS-Setup umfasst das Hinzufügen von HTTP-Headern wie `Access-Control-Allow-Origin`, `Access-Control-Allow-Methods` und `Access-Control-Allow-Headers` zu den Serverantworten. Zum Beispiel: ```http Access-Control-Allow-Origin: https://example.com Access-Control-Allow-Methods: GET, POST, PUT Access-Control-Allow-Headers: Content-Type ``` Diese Header teilen dem Browser mit, dass Anfragen von `https://example.com` erlaubt sind und dass die Methoden GET, POST und PUT sowie der Header `Content-Type` verwendet werden dürfen. Weitere Informationen zu CORS findest du in der [MDN Web Docs](https://developer.mozilla.org/de/docs/Web/HTTP/CORS).

Die Fehlermeldung „navigation blocked by cross origin opener policy“ bedeutet, dass eine Webseite versucht hat, eine andere Seite zu laden oder zu öffnen (z. B. per `window.open` oder durch das Setzen von `window.location`), dies aber vom Browser blockiert wurde. Der Grund ist die sogenannte **Cross-Origin Opener Policy** (COOP). **Hintergrund:** COOP ist eine Sicherheitsrichtlinie, die Webseiten davor schützt, dass andere Seiten (insbesondere von anderen Ursprüngen/Domains) auf bestimmte Browser-Objekte oder -Kontexte zugreifen können. Sie verhindert z. B. Angriffe wie Cross-Site Leaks (XS-Leaks). **Wann tritt der Fehler auf?** - Wenn eine Seite mit einer bestimmten COOP-Einstellung (z. B. `Cross-Origin-Opener-Policy: same-origin`) versucht, eine Seite mit einer anderen COOP-Einstellung zu öffnen oder zu navigieren. - Wenn die Ursprünge (Domains) unterschiedlich sind und die COOP-Richtlinien nicht kompatibel sind. **Was tun?** - Prüfe die HTTP-Header `Cross-Origin-Opener-Policy` und ggf. auch `Cross-Origin-Embedder-Policy` auf beiden Seiten. - Stelle sicher, dass die Richtlinien kompatibel sind, wenn eine Navigation oder ein Öffnen von Fenstern über verschiedene Ursprünge hinweg notwendig ist. **Weitere Infos:** - [MDN: Cross-Origin Opener Policy (COOP)](https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Cross-Origin-Opener-Policy) - [Google Web Fundamentals: COOP and COEP](https://web.dev/coop-coep/) Kurz gesagt: Die Fehlermeldung schützt vor Sicherheitsrisiken, indem sie verhindert, dass Seiten mit unterschiedlichen Ursprüngen und COOP-Einstellungen miteinander interagieren.