Mit dem Web Security Scanner in der Google Cloud Console können Sie benutzerdefinierte Scans für eine bereitgestellte Anwendung planen und ausführen. Web Security Scanner unterstützt Scans nach öffentlichen URLs und IP-Adressen, die sich nicht hinter einer Firewall befinden.
Hinweise
So richten Sie benutzerdefinierte Scans mit Web Security Scanner ein:
- Sie müssen eine bereitgestellte Anwendung unter einer öffentlichen URL oder IP-Adresse haben.
- Security Command Center muss aktiviert sein.
Prüfen Sie Ihre Anwendung vor dem Scan sorgfältig auf Funktionen, die über den gewünschten Scanumfang hinausgehen und dadurch Daten, Nutzer oder Systeme beeinträchtigen könnten.
Da Web Security Scanner Felder ausfüllt, auf Schaltflächen und Links klickt und andere Interaktionen ausführt, sollte dieses Tool mit Vorsicht verwenden. Web Security Scanner kann Features aktivieren, die den Status Ihrer Daten oder Ihres Systems ändern, was zu unerwünschten Ergebnissen führt. Beispiel:
- In einem Blog, in dem öffentlich kommentiert werden kann, postet Web Security Scanner möglicherweise Teststrings als Kommentare für alle Blogartikel.
- Auf einer E-Mail-Anmeldeseite generiert Web Security Scanner möglicherweise eine hohe Anzahl von Test-E-Mails.
Tipps zum Reduzieren von Risiken finden Sie in den Best Practices zur Vermeidung unbeabsichtigter Folgen.
Web Security Scanner aktivieren
Aktivieren Sie Web Security Scanner in Security Command Center, um benutzerdefinierte Scans zu erstellen und auszuführen.
Wenn das Security Command Center aktiv ist, können Sie Web Security Scanner in der Google Cloud Console auf der Seite Einstellungen des Security Command Centers aktivieren.
Schritt 1: Testanwendung bereitstellen
Für die Einrichtung von Web Security Scanner für benutzerdefinierte Scans benötigen Sie die URL einer Compute Engine-, GKE- (Google Kubernetes Engine) oder App Engine-Anwendung, die bereits bereitgestellt wurde. Wenn Sie keine bereitgestellte Anwendung haben oder Web Security Scanner mit einer Testanwendung testen möchten, stellen Sie die App Engine-Testanwendung bereit. Verwenden Sie die gewünschte Sprache:
Schritt 2: IAM-Rollen zuweisen
Zum Ausführen eines Web Security Scanner-Scans benötigen Sie eine der folgenden IAM-Rollen (Identity and Access Management, Identitäts- und Zugriffsverwaltung) für das Projekt, das Sie scannen möchten:
- Bearbeiter
- Inhaber
So fügen Sie eine der folgenden Rollen hinzu:
Rufen Sie in der Google Cloud Console die Seite IAM & Verwaltung auf.
Klicken Sie auf die Drop-down-Liste Projektauswahl.
Wählen Sie im angezeigten Dialogfeld Auswählen aus das Projekt aus, das Sie mit Web Security Scanner scannen möchten.
Klicken Sie auf der Seite "IAM" neben Ihrem Nutzernamen auf Bearbeiten.
Klicken Sie im angezeigten Bereich Berechtigungen bearbeiten auf Weitere Rolle hinzufügen und wählen Sie eine der folgenden Rollen aus:
- Projekt > Inhaber
- Projekt > Bearbeiter
Wenn Sie mit dem Hinzufügen von Rollen fertig sind, klicken Sie auf Speichern.
Weitere Informationen zu Web Security Scanner-Rollen
Schritt 3: Scan ausführen
Wenn Sie einen Scan einrichten, wird er später in die Warteschlange gestellt. Abhängig von der aktuellen Auslastung kann es mehrere Stunden dauern, bis ein Scan ausgeführt wird. So erstellen, speichern und führen Sie einen Scan durch:
Rufen Sie in der Google Cloud Console die Seite Web Security Scanner auf.
Wählen Sie das Projekt aus, das die bereitgestellte Anwendung enthält, die Sie scannen möchten.
Klicken Sie auf Neuer Scan, um einen neuen Scan einzurichten:
Legen Sie auf der Seite Neuen Scan erstellen die folgenden Werte fest:
- Geben Sie unter Start-URLs die URL der Anwendung ein, die Sie scannen möchten.
- Wählen Sie unter Zeitplan die Option Wöchentlich aus.
- Wählen Sie unter Nächste Ausführung am ein Datum aus.
Das Kästchen Export in Security Command Center wird automatisch aktiviert. Wenn Sie Web Security Scanner als Sicherheitsquelle des Security Command Center aktiviert haben, können die Scanergebnisse in der Google Cloud Console angezeigt werden.
Verwenden Sie für diesen ersten Scan den Standardscan, ohne andere Werte auf der Seite Neuen Scan erstellen zu ändern. Weitere Informationen zu Scaneinstellungen finden Sie unter Anwendung scannen.
Klicken Sie auf Speichern, um den Scan zu erstellen.
Klicken Sie auf der Seite „Web Security Scanner“ auf den Namen des Scans, um die zugehörige Übersichtsseite zu laden, und klicken Sie dann auf Scan ausführen.
Der Scan wird in die Warteschlange gestellt und anschließend ausgeführt. Es kann einige Stunden dauern, bis der Scan ausgeführt wird.
Auf der Übersichtsseite des Scanvorgangs wird ein Ergebnisbereich angezeigt, wenn der Scan abgeschlossen ist. Die folgende Abbildung zeigt Beispielscanergebnisse, wenn keine Sicherheitslücken erkannt werden:
Wenn Sie Web Security Scanner als Sicherheitsquelle von Web Security Scanner aktiviert haben, werden die Scanergebnisse auch in der Google Cloud Console angezeigt.
Klicken Sie in den Scanergebnissen auf den Namen eines Ergebnisses, um Details zu diesem Ergebnis anzuzeigen.
Sie haben jetzt einen einfachen Web Security Scanner-Scan durchgeführt. Wenn Sie Ihre eigene Anwendung gescannt haben, können Sie den Scan im Abschnitt Anwendung scannen auf dieser Seite anpassen.
Wenn Sie eine Testanwendung zum Ausführen des Scans bereitgestellt haben, führen Sie den folgenden Schritt zur Bereinigung auf dieser Seite aus, um zu vermeiden, dass App Engine-Gebühren für die Anwendung anfallen.
Schritt 4: Bereinigen
- In the Google Cloud console, go to the Manage resources page.
- In the project list, select the project that you want to delete, and then click Delete.
- In the dialog, type the project ID, and then click Shut down to delete the project.
Anwendung scannen
Richten Sie mithilfe eines Testkontos einen benutzerdefinierten Scan für Ihre Anwendung ein.
Schritt 1: Testkonto erstellen
Wenn Sie Ihre Anwendung scannen, sollten Sie ein Testkonto verwenden, das keinen Zugriff auf sensible Daten oder schädliche Vorgänge hat. Erstellen Sie ein Testkonto, mit dem Sie sich bei Ihrer Anwendung anmelden können. Notieren Sie sich die Anmeldedaten, die beim Erstellen eines Scans zur Authentifizierung zur Verfügung gestellt werden. Mit den Anmeldedaten können Sie das Testkonto zum Scannen von Daten verwenden.
Schritt 2: Scan erstellen
Rufen Sie in der Google Cloud Console die Seite Web Security Scanner auf.
Klicken Sie auf Auswählen und wählen Sie ein Projekt aus, in dem bereits eine App Engine-, Compute Engine- oder GKE-Anwendung bereitgestellt wurde.
Klicken Sie auf Scan erstellen oder Neuer Scan, um das neue Scanformular anzuzeigen.
Verwenden Sie die folgende Tabelle als Leitfaden, um dem neuen Scanformular Werte hinzuzufügen:
Feld Beschreibung Start-URLs Eine einfache Website benötigt in der Regel nur eine einzige Start-URL, z. B. die Start-, Haupt- oder Landingpage der Website, über die Web Security Scanner alle anderen Seiten der Website finden kann. Web Security Scanner findet jedoch möglicherweise nicht alle Seiten, wenn
- Viele Seiten
- Inseln aus unverbundenen Seiten
- eine Navigation hat, die ein komplexes JavaScript erfordert, etwa ein Mouseover-Menü mit mehreren Ebenen.
Geben Sie in solchen Fällen zusätzliche Start-URLs an, damit der Scan eine größere Anzahl an Seiten abdeckt.
Ausgeschlossene URLs Ausschlüsse werden mithilfe einer vereinfachten Proto-Sprache definiert, die einen oder mehrere *-Platzhalter verwendet, anstatt einen gültigen regulären Ausdruck zu erfordern. Weitere Informationen und Beispiele zu gültigen Mustern finden Sie weiter unten auf dieser Seite unter URLs ausschließen. Authentifizierung > Google-Konto Sie können in Gmail ein Testkonto erstellen und es dann verwenden, um Ihr Produkt zu scannen. Wenn Sie Google Workspace-Kunde sind, können Sie Testkonten in Ihrer Domain erstellen, z. B.
test-account@yourdomain.com
. In Web Security Scanner funktionieren diese Konten wie Gmail-Konten. Die Zwei-Faktor-Authentifizierung wird nicht unterstützt.Google erzwingt die Verwendung des Klarnamens für Google-Konten. Wenn der Name Ihres Testkontos nicht echt aussieht, wird das Konto möglicherweise blockiert.
Authentifizierung > Identity-Aware Proxy (Alpha) Informationen zum Schutz von Ressourcen mit Identity-Aware Proxy finden Sie im IAP-Leitfaden.
Wenn Sie Web Security Scanner mit einer durch IAP geschützten Ressource verwenden möchten, gewähren Sie zuerst Zugriff auf das Web Security Scanner-Dienstkonto:
- Rufen Sie in der Google Cloud Console die Seite IAP auf.
- Wählen Sie das Projekt aus, das Sie mit Web Security Scanner verwenden möchten.
- Wählen Sie die Anwendungsressource aus, die Sie scannen möchten, und klicken Sie dann im Infofeld auf Hauptkonto hinzufügen.
-
Geben Sie im Feld Neue Hauptkonten im Bereich Hauptkonten hinzufügen das Web Security Scanner-Dienstkonto in folgender Form ein:
service-project-number@gcp-sa-websecurityscanner.iam.gserviceaccount.com
. - Wählen Sie in der Drop-down-Liste Rolle auswählen die Option Cloud IAP > Nutzer von IAP-abgesicherten Web-Apps aus.
- Wenn Sie mit dem Hinzufügen von Rollen fertig sind, klicken Sie auf Speichern.
Fügen Sie als Nächstes die OAuth-Client-ID hinzu. Web Security Scanner kann nur Anwendungen scannen, die durch eine einzige OAuth-Client-ID geschützt sind. So fügen Sie die OAuth-Client-ID hinzu:
- Rufen Sie in der Google Cloud Console die Seite IAP auf.
- Wählen Sie das Projekt aus, das Sie mit Web Security Scanner verwenden möchten.
- Wählen Sie im Dreipunkt-Menü die Option OAuth-Client bearbeiten aus.
- Kopieren Sie im angezeigten Fenster Client-ID für Webanwendung die Client-ID.
- Rufen Sie in der Google Cloud Console die Seite Web Security Scanner auf.
- Wählen Sie unter Authentifizierung die Option Identity-Aware Proxy (Alpha) aus.
- Fügen Sie im Feld OAuth2-Client-ID die kopierte OAuth-Client-ID ein und klicken Sie dann auf Speichern.
Authentifizierung > Konto eines Drittanbieters Wählen Sie diese Option aus, wenn Sie ein eigenes Authentifizierungssystem erstellt haben und keine Google-Kontodienste verwenden. Geben Sie die URL für das Anmeldeformular, den Nutzernamen und das Passwort ein. Diese Anmeldedaten werden zum Anmelden in Ihrer Anwendung und zum Scannen verwendet.
Web Security Scanner versucht, Heuristik zum Anmelden in Ihrer Anwendung und zum Scannen zu verwenden. Insbesondere sucht diese Methode nach einem Anmeldeformular mit zwei Feldern, das die Felder
username
undpassword
enthält. Die Anmeldung muss ein Authentifizierungs-Cookie erzeugen, damit der Scanner den Scan fortsetzen kann.Die folgenden häufigen Probleme können dazu führen, dass die benutzerdefinierte Anmeldung fehlschlägt:
-
Es werden nicht standardmäßige HTML-Formularfelder verwendet, der Typ
password
wird beispielsweise nicht verwendet. -
Es wird ein kompliziertes Anmeldeformular verwendet, das beispielsweise mehrere
username
- undpassword
-Felder hat. - Ein Authentifizierungscookie wird bei erfolgreicher Anmeldung beispielsweise nicht gespeichert.
- In einigen Situationen kann der Scanner von Gegenmaßnahmen abgelehnt werden, die vor Bots, DDOS und anderen Angriffen schützen sollen.
Für eine einheitliche Erfahrung beim authentifizierten Scannen von Anwendungen empfehlen wir die Verwendung von Identity-Aware Proxy.
Planen Sie können den Scan so einstellen, dass er täglich, wöchentlich, alle zwei Wochen oder alle vier Wochen ausgeführt wird. Es empfiehlt sich, einen geplanten Scan zu erstellen, um sicherzugehen, dass auch künftige Versionen Ihrer Anwendung geprüft werden. Da wir gelegentlich neue Scanner veröffentlichen, die neue Fehlertypen finden, kann die Ausführung eines geplanten Scans zudem ohne manuellen Aufwand zusätzliche Bereiche abdecken. Scans von vordefinierten Quell-IPs ausführen (Vorabversion) Wählen Sie diese Option aus, um den Scan-Traffic auf eine vordefinierte Gruppe von IP-Adressen zu beschränken. So können Sie dem Scanner den Zugriff auf Anwendungen hinter einer Firewall ermöglichen, den Umfang des Scans jedoch einschränken. Informationen zum Ändern der Firewallregeln, um Web Security Scanner-Traffic zuzulassen, finden Sie unter Firewall konfigurieren weiter unten auf dieser Seite. Exportoptionen Wählen Sie diese Option aus, um Scankonfigurationen und Scanergebnisse automatisch ins Security Command Center zu exportieren. HTTP-Statusfehler ignorieren Diese Option steuert, ob eine hohe Anzahl von HTTP-Statusfehlern (z. B. **400 Ungültige Anfrage**) während eines Scans dazu führt, dass der Scan als Fehler gemeldet wird. Wenn die Option ausgewählt ist, werden Statusfehler ignoriert. Wenn die Option nicht ausgewählt ist und der Prozentsatz der Statusfehler einen vordefinierten Schwellenwert überschreitet, wird der Scan als Fehler gemeldet. Wenn Sie keine weiteren Werte mehr hinzufügen möchten, klicken Sie auf Speichern. Sie können den neuen Scan jetzt ausführen.
Standardmäßig verwendet Web Security Scanner bei jeder Ausführung zufällig zugewiesene IP-Adressen. Um die Web Security Scanner-IP-Adressen vorhersehbar zu machen, führen Sie die Schritte zum Aktivieren von Scans von statischen IP-Adressen unten auf dieser Seite aus.
Schritt 3: Scan ausführen
So führen Sie einen Scan aus:
- Melden Sie sich in dem Testkonto an, mit dem Sie den Scan erstellt haben.
Rufen Sie in der Google Cloud Console die Seite Web Security Scanner auf.
Klicken Sie auf Auswählen und wählen Sie das Projekt aus, in dem Sie den Scan erstellt haben.
Klicken Sie unter Scankonfigurationen auf den Namen des Scans, den Sie ausführen möchten.
Klicken Sie auf der Seite mit den Scandetails auf Ausführen.
Der Scan wird in eine Warteschlange gestellt. Es kann möglicherweise etwas dauern, bis er ausgeführt wird. Die Ausführung kann je nach Systemauslastung und den folgenden Faktoren mehrere Minuten bis mehrere Stunden dauern:
- Komplexität der Website
- Anzahl der anwendbaren Elemente pro Seite
- Anzahl der Links
- Die Menge an JavaScript auf der Website, einschließlich Navigation
Sie können bis zu zehn verschiedene Scans einrichten und ausführen, bevor Sie zuvor gespeicherte Ergebnisse löschen oder bereinigen müssen.
Benutzerdefinierte Scanergebnisse ansehen
Der Status und die Ergebnisse eines benutzerdefinierten Scans werden auf der Detailseite des Scans in der Google Cloud Console angezeigt. So rufen Sie die Scanergebnisse auf:
- Melden Sie sich in dem Testkonto an, mit dem Sie den Scan erstellt haben.
Rufen Sie in der Google Cloud Console die Seite Web Security Scanner auf.
Klicken Sie auf Auswählen und wählen Sie das Projekt mit dem Scan aus, den Sie ansehen möchten.
Klicken Sie unter Scankonfigurationen auf den Namen des Scans, den Sie ansehen möchten.
Auf der Seite mit den Scandetails werden die Ergebnisse des letzten Scans angezeigt. Wenn ein Scan läuft, wird auf dem Tab Ergebnisse der aktuelle Abschlussprozentsatz angezeigt. Wählen Sie aus der Drop-down-Liste das Datum und die Uhrzeit des Scans aus, um Ergebnisse aus früheren Scans anzuzeigen.
Abgeschlossene benutzerdefinierte Scans umfassen folgende Details:
- Auf dem Tab Ergebnisse wird eine Liste der vom Scan gefundenen Sicherheitslücken angezeigt, sofern welche gefunden.
- Auf dem Tab Gecrawlte URLs wird eine Liste der URLs angezeigt, die vom Scan geprüft wurden.
Der Tab Details enthält folgende Informationen:
- Start-URLs
- Authentication
- User-Agent
- Maximale Scangeschwindigkeit als Abfragen pro Sekunde (Queries per Second, QPS)
Weitere Informationen zum Scan finden Sie auf der Seite „Protokolle“ des Projekts.
Benutzerdefinierten Scan bearbeiten
So bearbeiten Sie einen benutzerdefinierten Scan:
- Melden Sie sich in dem Testkonto an, mit dem Sie den Scan erstellt haben.
Rufen Sie in der Google Cloud Console die Seite Web Security Scanner auf.
Klicken Sie auf Auswählen und wählen Sie das Projekt aus, das den Scan enthält, den Sie bearbeiten möchten.
Klicken Sie unter Scankonfigurationen auf den Namen des Scans, den Sie bearbeiten möchten.
Klicken Sie auf der daraufhin angezeigten Seite "Scandetails" auf Bearbeiten.
Nehmen Sie auf der Seite [Name des Scans]bearbeiten die gewünschten Änderungen vor und klicken Sie dann auf Speichern.
Der bearbeitete benutzerdefinierte Scan wird bei der nächsten Planung ausgeführt. Sie können ihn auch manuell ausführen, um aktualisierte Ergebnisse zu erhalten.
Benutzerdefinierten Scan löschen
So löschen Sie einen oder mehrere benutzerdefinierte Scans:
- Melden Sie sich in dem Testkonto an, mit dem Sie den Scan erstellt haben.
Rufen Sie in der Google Cloud Console die Seite Web Security Scanner auf.
Klicken Sie auf Auswählen und wählen Sie das Projekt aus, das den Scan enthält, den Sie bearbeiten möchten.
Aktivieren Sie unter Scan-Konfigurationen das Kästchen neben einem oder mehreren Scans, die Sie löschen möchten.
Klicken Sie auf Löschen und dann auf OK.
Alle ausgewählten Scans werden gelöscht.
Scan über statische IP-Adressen einrichten
In diesem Abschnitt wird beschrieben, wie Sie benutzerdefinierte Web Security Scanner-Scans von statischen IP-Adressen aktivieren. Wenn Sie diese Funktion aktivieren, verwendet Web Security Scanner vorhersehbare IP-Adressen, um Ihre öffentlichen Compute Engine- und Google Kubernetes Engine-Anwendungen zu scannen. Dieses Feature befindet sich in der Vorabversion und die IP-Adressen von Web Security Scanner können sich in einer zukünftigen Version ändern.
Hinweise
Wenn Sie das Feature "Benutzerdefinierte Web Security Scanner-Scans über statische IP-Adressen" verwenden möchten, benötigen Sie Folgendes:
- Eine öffentliche Compute Engine- oder GKE-Anwendung. Dieses Feature unterstützt keine App Engine-Anwendungen.
- Ein Scan, der ohne Authentifizierung oder mit der Authentifizierung durch ein Google-Konto erstellt wurde. Diese Funktion unterstützt keine Scans, die nicht über ein Google-Konto authentifiziert wurden.
Schritt 1: Firewall konfigurieren
Rufen Sie in der Google Cloud Console die Seite "Firewallregeln" auf.
Klicken Sie auf Auswählen und wählen Sie Ihr Projekt aus.
Klicken Sie auf der Seite Firewallregeln auf Firewallregel erstellen.
Legen Sie auf der Seite Firewallregel erstellen die folgenden Werte fest:
- Name: Geben Sie
web-security-scanner
oder einen ähnlichen Namen ein. - Priorität: Wählen Sie eine höhere Priorität (niedriger Wert) als die aller Regeln aus, die den ausgehenden Traffic zu Ihrer Anwendung verweigern.
- Quell-IP-Bereiche: Geben Sie
34.66.18.0/26
und34.66.114.64/26
ein. - Protokolle und Ports: Wählen Sie Alle zulassen aus oder geben Sie die Protokolle und Ports für Ihre Anwendung an. In der Regel können Sie das Kästchen tcp anklicken und dann
80
und443
für die Ports eingeben.
- Name: Geben Sie
Wenn Sie alle Werte festgelegt haben, klicken Sie auf Erstellen.
Schritt 2: Scan konfigurieren
Nachdem Sie Ihre Firewall so konfiguriert haben, dass Web Security Scanner vorhersehbare IP-Adressen zulässt, konfigurieren Sie den Scan für die Verwendung vordefinierter IP-Adressen:
Rufen Sie in der Google Cloud Console die Seite Web Security Scanner auf.
Klicken Sie auf Auswählen und wählen Sie Ihr Projekt aus.
Erstellen Sie einen neuen Scan oder bearbeiten Sie einen vorhandenen Scan.
Klicken Sie auf das Kästchen Scans von vordefinierten Quell-IPs ausführen.
Speichern Sie den Scan.
Wenn der Scan das nächste Mal ausgeführt wird, scannt er die öffentlichen Compute Engine- und GKE-Anwendungen, die sich hinter der Firewall befinden.
URLs ausschließen
Sie können bis zu 100 ausgeschlossene URL-Muster angeben, um Testbereiche einer Website während eines benutzerdefinierten Scans zu vermeiden. Web Security Scanner fordert keine Ressourcen an, die mit einem der Ausschlüsse übereinstimmen. In den folgenden Abschnitten wird das Muster beschrieben, das von Web Security Scanner verwendet wird.
Übereinstimmung mit URL-Mustern
Die Übereinstimmung von ausgeschlossenen URLs basiert auf einer Reihe von URLs, die durch Übereinstimmungsmuster definiert werden. Ein Übereinstimmungsmuster ist eine URL mit fünf Segmenten:
scheme
: z. B.http
oder*
host
: z. B.www.google.com
oder*.google.com
oder*
path
: z. B./*
,/foo*
oder/foo/bar. *
query
: zum Beispiel,?*
,?*foo=bar*
fragment
: zum Beispiel,#*
,#access
Dies ist die grundlegende Syntax:
<exclude-pattern> := <scheme>://<host><path><query><fragment>
<scheme> := '*' | 'http' | 'https'
<host> := '*' | '*.' <any char except '/' and '*'>+
<path> := '/' <any chars except '?' or '#'>
<query> := '?' <any chars except '#'>
<fragment> := '#' <any chars>
Das *
in jedem Teil hat die folgende Funktion:
scheme
:*
entspricht entweder HTTP oder HTTPS.host
:*
entspricht jedem Host.*.hostname
entspricht dem angegebenen Host und allen zugehörigen Subdomains.
path
:*
entspricht 0 oder mehr Zeichen.
In einem ausgeschlossenen Muster sind nicht alle Segmente erforderlich.
- Wenn das Segment
scheme
nicht angegeben ist, wird standardmäßig Folgendes verwendet:*://
. - Das Segment
host
muss immer angegeben sein. Wenn das Segment
path
nicht angegeben ist, wird standardmäßig Folgendes verwendet:/*
, wenn die Segmentequery
undfragment
nicht angegeben sind. Dieser Wert entspricht jedempath
oder keinempath
./
oder ein leererpath
, wenn das Segmentquery
oderfragment
angegeben ist.
Wenn das Segment
query
nicht angegeben ist, wird standardmäßig Folgendes verwendet:?*
, wenn das Segmentfragment
nicht angegeben ist. Dieser Wert entspricht jedemquery
oder keinemquery
.?
oder eine leerequery
, wenn dasfragment
angegeben ist.
Wenn das Segment
fragment
nicht angegeben ist, wird standardmäßig#*
verwendet, was jedemfragment
oder keinemfragment
entspricht.
Gültige Musterübereinstimmungen
Die folgende Tabelle enthält Beispiele für gültige Muster.
Muster | Verhalten | Beispiele für übereinstimmende URLs |
---|---|---|
http://*/* |
Entspricht jeder URL, die das HTTP-Schema verwendet. |
|
http://*/foo* |
Entspricht jeder URL, die das HTTP-Schema auf einem beliebigen Host verwendet, wenn der Pfad mit /foo beginnt. |
|
https://*.google.com/foo*bar |
Entspricht jeder URL, die das HTTPS-Schema verwendet und sich auf einem google.com -Host wie www.google.com , docs.google.com oder google.com befindet, wenn der Pfad mit /foo beginnt und mit bar endet. |
|
http://example.org/foo/bar.html |
Entspricht der angegebenen URL. | http://example.org/foo/bar.html |
http://127.0.0.1/* |
Entspricht jeder URL, die das HTTP-Schema verwendet und sich auf dem Host 127.0.0.1 befindet. |
|
*://mail.google.com/* |
Entspricht jeder URL, die mit http://mail.google.com oder https://mail.google.com beginnt. |
|
*://*/foo*?*bar=baz* |
Stimmt mit jeder URL überein, bei der der Pfad mit /foo beginnt und den Abfrageparameter bar=baz hat.
|
https://www.google.com/foo/example?bar=baz |
google.com/app#*open* |
Entspricht jeder URL mit einem google.com -Host, bei der der Pfad mit /app beginnt und das Fragment open hat.
|
https://www.google.com/app/example#open |
Ungültige Musterübereinstimmungen
Die folgende Tabelle enthält Beispiele für ungültige Muster:
Muster | Grund |
---|---|
http://www.google.com |
Die URL enthält keinen Pfad. |
http://*foo/bar |
Auf * im Host muss ein . oder / folgen |
http://foo.*.bar/baz |
Wenn * im Host angegeben ist, muss es das erste Zeichen sein. |
http:/bar |
Das Trennzeichen für das URL-Schema hat nicht das richtige Format. Der "/" sollte "//" lauten.
|
foo://* |
Das URL-Schema ist ungültig. |