Benutzerdefinierte Scans mit Web Security Scanner einrichten

Mit Web Security Scanner in der Google Cloud Console benutzerdefinierte Scans für eine bereitgestellte Anwendung planen und ausführen. Web Security Scanner unterstützt Scans nach öffentlichen URLs und IP-Adressen, die sich nicht hinter einer Firewall befinden.

Hinweise

So richten Sie benutzerdefinierte Scans mit Web Security Scanner ein:

  • Sie müssen eine bereitgestellte Anwendung unter einer öffentlichen URL oder IP-Adresse haben.
  • Security Command Center muss aktiviert sein.

Prüfen Sie Ihre Anwendung vor dem Scan sorgfältig auf Funktionen, die über den gewünschten Scanumfang hinausgehen und dadurch Daten, Nutzer oder Systeme beeinträchtigen könnten.

Da Web Security Scanner Felder ausfüllt, auf Schaltflächen und Links klickt und andere Interaktionen ausführt, sollte dieses Tool mit Vorsicht verwenden. Web Security Scanner kann Features aktivieren, die den Status Ihrer Daten oder Ihres Systems ändern, was zu unerwünschten Ergebnissen führt. Beispiel:

  • In einem Blog, in dem öffentlich kommentiert werden kann, postet Web Security Scanner möglicherweise Teststrings als Kommentare für alle Blogartikel.
  • Auf einer E-Mail-Anmeldeseite generiert Web Security Scanner möglicherweise eine hohe Anzahl von Test-E-Mails.

Tipps zum Reduzieren von Risiken finden Sie in den Best Practices zur Vermeidung unbeabsichtigter Folgen.

Web Security Scanner aktivieren

Aktivieren Sie Web Security Scanner in Security Command Center, um benutzerdefinierte Scans zu erstellen und auszuführen.

Wenn Security Command Center aktiv ist, können Sie Web Security Scanner in der Google Cloud Console auf der Seite Einstellungen von Security Command Center aktivieren.

Schritt 1: Testanwendung bereitstellen

Für die Einrichtung von Web Security Scanner für benutzerdefinierte Scans benötigen Sie die URL einer Compute Engine-, GKE- (Google Kubernetes Engine) oder App Engine-Anwendung, die bereits bereitgestellt wurde. Wenn Sie keine bereitgestellte Anwendung haben oder Web Security Scanner mit einer Testanwendung testen möchten, stellen Sie die App Engine-Testanwendung bereit. Verwenden Sie die gewünschte Sprache:

Schritt 2: IAM-Rollen zuweisen

Zum Ausführen eines Web Security Scanner-Scans benötigen Sie eine der folgenden IAM-Rollen (Identity and Access Management, Identitäts- und Zugriffsverwaltung) für das Projekt, das Sie scannen möchten:

  • Bearbeiter
  • Inhaber

So fügen Sie eine der folgenden Rollen hinzu:

  1. Öffnen Sie in der Google Cloud Console die Seite IAM & Verwaltung.
    Zur Seite IAM & Verwaltung
  2. Klicken Sie auf die Drop-down-Liste Projektauswahl.
  3. Wählen Sie im angezeigten Dialogfeld Auswählen aus das Projekt aus, das Sie mit Web Security Scanner scannen möchten.
  4. Klicken Sie auf der Seite "IAM" neben Ihrem Nutzernamen auf Bearbeiten.
  5. Klicken Sie im angezeigten Bereich Berechtigungen bearbeiten auf Weitere Rolle hinzufügen und wählen Sie dann eine der folgenden Rollen aus:
    • Projekt > Inhaber
    • Projekt > Bearbeiter
  6. Wenn Sie mit dem Hinzufügen von Rollen fertig sind, klicken Sie auf Speichern.

Weitere Informationen zu Web Security Scanner-Rollen

Schritt 3: Scan ausführen

Wenn Sie einen Scan einrichten, wird er später in die Warteschlange gestellt. Abhängig von der aktuellen Auslastung kann es mehrere Stunden dauern, bis ein Scan ausgeführt wird. So erstellen, speichern und führen Sie einen Scan durch:

  1. Öffnen Sie in der Google Cloud Console die Seite Web Security Scanner.
    Zur Seite "Web Security Scanner"
  2. Wählen Sie das Projekt aus, das die bereitgestellte Anwendung enthält, die Sie scannen möchten.
  3. Klicken Sie auf Neuer Scan, um einen neuen Scan einzurichten:

  4. Legen Sie auf der Seite Neuen Scan erstellen die folgenden Werte fest:

    1. Geben Sie unter Start-URLs die URL der Anwendung ein, die Sie scannen möchten.
    2. Wählen Sie unter Zeitplan die Option Wöchentlich aus.
    3. Wählen Sie unter Nächste Ausführung am ein Datum aus.

    Das Kästchen Export in Security Command Center wird automatisch aktiviert. Wenn Sie Web Security Scanner als Sicherheitsquelle für Security Command Center aktiviert haben, können Scanergebnisse in der Google Cloud Console angezeigt werden.

    Verwenden Sie für diesen ersten Scan den Standardscan, ohne andere Werte auf der Seite Neuen Scan erstellen zu ändern. Weitere Informationen zu Scaneinstellungen finden Sie unter Anwendung scannen.

  5. Klicken Sie auf Speichern, um den Scan zu erstellen.

  6. Klicken Sie auf der Seite "Web Security Scanner" auf den Namen des Scans, um die zugehörige Übersichtsseite zu laden, und klicken Sie dann auf Scan ausführen.

    Der Scan wird in die Warteschlange gestellt und anschließend ausgeführt. Es kann einige Stunden dauern, bis der Scan ausgeführt wird.

  7. Auf der Übersichtsseite des Scanvorgangs wird ein Ergebnisbereich angezeigt, wenn der Scan abgeschlossen ist. Die folgende Abbildung zeigt Beispielscanergebnisse, wenn keine Sicherheitslücken erkannt werden:

    Wenn Sie Web Security Scanner als Sicherheitsquelle für Web Security Scanner aktiviert haben, werden die Scanergebnisse auch in der Google Cloud Console angezeigt.

    Klicken Sie in den Scanergebnissen auf den Namen eines Ergebnisses, um Details zu diesem Ergebnis anzuzeigen.

Sie haben jetzt einen einfachen Web Security Scanner-Scan durchgeführt. Wenn Sie Ihre eigene Anwendung gescannt haben, beachten Sie die Informationen zum Anpassen des Scans im Abschnitt Anwendung scannen auf dieser Seite.

Wenn Sie eine Testanwendung zum Ausführen des Scans bereitgestellt haben, führen Sie den folgenden Schritt zur Bereinigung auf dieser Seite aus, um zu vermeiden, dass App Engine-Gebühren für die Anwendung anfallen.

Schritt 4: Bereinigen

  1. Wechseln Sie in der Google Cloud Console zur Seite Ressourcen verwalten.

    Zur Seite „Ressourcen verwalten“

  2. Wählen Sie in der Projektliste das Projekt aus, das Sie löschen möchten, und klicken Sie dann auf Löschen.
  3. Geben Sie im Dialogfeld die Projekt-ID ein und klicken Sie auf Shut down (Beenden), um das Projekt zu löschen.

Anwendung scannen

Richten Sie mithilfe eines Testkontos einen benutzerdefinierten Scan für Ihre Anwendung ein.

Schritt 1: Testkonto erstellen

Wenn Sie Ihre Anwendung scannen, sollten Sie ein Testkonto verwenden, das keinen Zugriff auf sensible Daten oder schädliche Vorgänge hat. Erstellen Sie ein Testkonto, mit dem Sie sich bei Ihrer Anwendung anmelden können. Notieren Sie sich die Anmeldedaten, die beim Erstellen eines Scans zur Authentifizierung zur Verfügung gestellt werden. Mit den Anmeldedaten können Sie das Testkonto zum Scannen von Daten verwenden.

Schritt 2: Scan erstellen

  1. Rufen Sie in der Google Cloud Console die Seite Web Security Scanner auf.
    Zur Seite "Web Security Scanner"
  2. Klicken Sie auf Auswählen und wählen Sie ein Projekt aus, in dem bereits eine App Engine-, Compute Engine- oder GKE-Anwendung bereitgestellt wurde.
  3. Klicken Sie auf Scan erstellen oder Neuer Scan, um das neue Scanformular anzuzeigen.
  4. Verwenden Sie die folgende Tabelle als Leitfaden, um dem neuen Scanformular Werte hinzuzufügen:
    Feld Beschreibung
    Start-URLs

    Eine einfache Website benötigt in der Regel nur eine einzige Start-URL, z. B. die Start-, Haupt- oder Landingpage der Website, über die Web Security Scanner alle anderen Seiten der Website finden kann. Web Security Scanner findet jedoch möglicherweise nicht alle Seiten, wenn

    • Viele Seiten
    • Inseln von nicht verbundenen Seiten
    • Navigation, die komplexes JavaScript erfordert, z. B. ein Mouseover-gesteuertes mehrstufiges Menü

    Geben Sie in solchen Fällen mehr Start-URLs an, um die Abdeckung durch den Scan zu erhöhen.

    Ausgeschlossene URLs Ausschlüsse werden mithilfe einer vereinfachten Proto-Sprache definiert, die einen oder mehrere *-Platzhalter verwendet, anstatt einen gültigen regulären Ausdruck zu erfordern. Weitere Informationen und Beispiele zu gültigen Mustern finden Sie weiter unten auf dieser Seite unter URLs ausschließen.
    Authentifizierung > Google-Konto

    Sie können in Gmail ein Testkonto erstellen und es dann verwenden, um Ihr Produkt zu scannen. Wenn Sie Google Workspace-Kunde sind, können Sie Testkonten in Ihrer Domain erstellen, z. B. test-account@yourdomain.com. In Web Security Scanner funktionieren diese Konten wie Gmail-Konten. Die Zwei-Faktor-Authentifizierung wird nicht unterstützt.

    Bitte beachten Sie, dass Sie für Google-Konten nach der Richtlinie von Google Ihren Klarnamen verwenden müssen. Wenn der Name Ihres Testkontos nicht echt aussieht, wird das Konto möglicherweise blockiert.

    Authentifizierung > Identity-Aware Proxy (Alpha)

    Informationen zum Schützen von Ressourcen mit Identity-Aware Proxy finden Sie im Leitfaden zu IAP.

    Wenn Sie Web Security Scanner mit einer durch IAP geschützten Ressource verwenden möchten, gewähren Sie zuerst Zugriff auf das Web Security Scanner-Dienstkonto:

    1. Öffnen Sie in der Google Cloud Console die SeiteIAP.
    2. Wählen Sie das Projekt aus, das Sie mit Web Security Scanner verwenden möchten.
    3. Wählen Sie die Anwendungsressource aus, die Sie scannen möchten, und klicken Sie dann im Infofeld auf Hauptkonto hinzufügen.
    4. Geben Sie im Feld Neue Hauptkonten im Bereich Hauptkonten hinzufügen das Web Security Scanner-Dienstkonto in folgender Form ein.

      service-project-number@gcp-sa-websecurityscanner.iam.gserviceaccount.com.

    5. Wählen Sie in der Drop-down-Liste Rolle auswählen die Option Cloud IAP > Nutzer von IAP-gesicherten Webanwendungen aus.
    6. Wenn Sie mit dem Hinzufügen von Rollen fertig sind, klicken Sie auf Speichern.

    Fügen Sie als Nächstes die OAuth-Client-ID hinzu. Web Security Scanner kann nur Anwendungen scannen, die durch eine einzige OAuth-Client-ID geschützt sind. So fügen Sie die OAuth-Client-ID hinzu:

    1. Öffnen Sie in der Google Cloud Console die SeiteIAP.
    2. Wählen Sie das Projekt aus, das Sie mit Web Security Scanner verwenden möchten.
    3. Wählen Sie im Dreipunkt-Menü die Option OAuth-Client bearbeiten aus.
    4. Kopieren Sie im angezeigten Fenster Client-ID für Web-App die Client-ID.
    5. Rufen Sie in der Google Cloud Console die Seite Web Security Scanner auf.
    6. Wählen Sie unter Authentifizierung die Option Identity-Aware Proxy alpha aus.
    7. Fügen Sie in das Feld OAuth2-Client-ID die kopierte OAuth-Client-ID ein und klicken Sie auf Speichern.
    Authentifizierung > Konto eines Drittanbieters

    Wählen Sie diese Option aus, wenn Sie ein eigenes Authentifizierungssystem erstellt haben und keine Google-Kontodienste verwenden. Geben Sie die URL für das Anmeldeformular, den Nutzernamen und das Passwort ein. Diese Anmeldedaten werden zum Anmelden in Ihrer Anwendung und zum Scannen verwendet.

    Web Security Scanner versucht Heuristik, sich bei Ihrer Anwendung anzumelden und diese zu scannen. Insbesondere sucht diese Methode nach einem Anmeldeformular mit zwei Feldern, das die Felder username und password enthält. Der Anmeldevorgang muss ein Authentifizierungscookie erzeugen, damit der Scanner den Scan fortsetzen kann.

    Die folgenden häufigen Probleme können dazu führen, dass die benutzerdefinierte Anmeldung fehlschlägt:

    • Verwendung nicht standardmäßiger HTML-Formularfelder, z. B. ohne den Typ password.
    • Ein kompliziertes Anmeldeformular verwenden, z. B. ein Formular mit mehr als einem username- und password-Feld.
    • Ein Authentifizierungscookie wird bei erfolgreicher Anmeldung beispielsweise nicht gespeichert.
    • In einigen Situationen wird der Scanner durch Gegenmaßnahmen verwehrt, die vor Bots, DDoS und anderen Angriffen schützen sollen.

    Wir empfehlen, die Integration von Identity-Aware Proxy zu verwenden, um das authentifizierte Scannen von Anwendungen konsistent zu gestalten.

    Planen Sie können den Scan so einstellen, dass er täglich, wöchentlich, alle zwei Wochen oder alle vier Wochen ausgeführt wird. Es empfiehlt sich, einen geplanten Scan zu erstellen, um sicherzugehen, dass auch künftige Versionen Ihrer Anwendung geprüft werden. Da wir gelegentlich neue Scanner veröffentlichen, die neue Fehlertypen finden, kann die Ausführung eines geplanten Scans zudem ohne manuellen Aufwand zusätzliche Bereiche abdecken.
    Scans von vordefinierten Quell-IPs ausführen
    Vorschau    		 Wählen Sie diese Option, um den Scan-Traffic auf eine vordefinierte Gruppe von IP-Adressen zu beschränken. So können Sie dem Scanner den Zugriff auf Anwendungen hinter einer Firewall ermöglichen, den Umfang des Scans jedoch einschränken. Informationen zum Ändern der Firewallregeln, um Web Security Scanner-Traffic zuzulassen, finden Sie unter Firewall konfigurieren weiter unten auf dieser Seite.
    Exportoptionen Wählen Sie diese Option aus, um Scankonfigurationen und Scanergebnisse automatisch ins Security Command Center zu exportieren.
    HTTP-Statusfehler ignorieren Diese Option steuert, ob eine hohe Anzahl von HTTP-Statusfehlern (z. B. 400 Ungültige Anfrage) während eines Scans dazu führt, dass der Scan als Fehler gemeldet wird. Wenn die Option ausgewählt ist, werden Statusfehler ignoriert. Wenn die Option nicht ausgewählt ist und der Prozentsatz der Statusfehler einen vordefinierten Schwellenwert überschreitet, wird der Scan als Fehler gemeldet.
  5. Wenn Sie keine weiteren Werte mehr hinzufügen möchten, klicken Sie auf Speichern. Sie können den neuen Scan jetzt ausführen.

Standardmäßig verwendet Web Security Scanner bei jeder Ausführung zufällig zugewiesene IP-Adressen. Um die Web Security Scanner-IP-Adressen vorhersehbar zu machen, führen Sie die Schritte zum Aktivieren von Scans von statischen IP-Adressen unten auf dieser Seite aus.

Schritt 3: Scan ausführen

So führen Sie einen Scan aus:

  1. Melden Sie sich in dem Testkonto an, mit dem Sie den Scan erstellt haben.
  2. Rufen Sie in der Google Cloud Console die Seite Web Security Scanner auf.
    Zur Seite "Web Security Scanner"
  3. Klicken Sie auf Auswählen und wählen Sie das Projekt aus, in dem Sie den Scan erstellt haben.
  4. Klicken Sie unter Scankonfigurationen auf den Namen des Scans, den Sie ausführen möchten.
  5. Klicken Sie auf der Seite mit den Scandetails auf Ausführen.

Der Scan wird in eine Warteschlange gestellt. Es kann möglicherweise etwas dauern, bis er ausgeführt wird. Die Ausführung kann je nach Systemauslastung und den folgenden Faktoren mehrere Minuten bis mehrere Stunden dauern:

  • Komplexität der Website
  • Anzahl der anwendbaren Elemente pro Seite
  • Anzahl der Links
  • Die Menge an JavaScript auf der Website, einschließlich Navigation

Sie können bis zu zehn verschiedene Scans einrichten und ausführen, bevor Sie zuvor gespeicherte Ergebnisse löschen oder bereinigen müssen.

Benutzerdefinierte Scanergebnisse ansehen

Der Status und die Ergebnisse eines benutzerdefinierten Scans werden auf der Detailseite des Scans in der Google Cloud Console angezeigt. So rufen Sie die Scanergebnisse auf:

  1. Melden Sie sich in dem Testkonto an, mit dem Sie den Scan erstellt haben.
  2. Rufen Sie in der Google Cloud Console die Seite Web Security Scanner auf.
    Zur Seite "Web Security Scanner"
  3. Klicken Sie auf Auswählen und wählen Sie das Projekt mit dem Scan aus, den Sie ansehen möchten.
  4. Klicken Sie unter Scankonfigurationen auf den Namen des Scans, den Sie ansehen möchten.

Auf der Seite mit den Scandetails werden die Ergebnisse des letzten Scans angezeigt. Wenn ein Scan läuft, wird auf dem Tab Ergebnisse der aktuelle Abschlussprozentsatz angezeigt. Wählen Sie aus der Drop-down-Liste das Datum und die Uhrzeit des Scans aus, um Ergebnisse aus früheren Scans anzuzeigen.

Abgeschlossene benutzerdefinierte Scans umfassen folgende Details:

  • Auf dem Tab Ergebnisse wird eine Liste der vom Scan gefundenen Sicherheitslücken angezeigt, sofern welche gefunden.
  • Auf dem Tab Gecrawlte URLs wird eine Liste der URLs angezeigt, die vom Scan geprüft wurden.
  • Der Tab Details enthält Folgendes:
    • Start-URLs
    • Authentifizierung
    • User-Agent
    • Maximale Scangeschwindigkeit als Abfragen pro Sekunde (Queries per Second, QPS)

Weitere Informationen zum Scan finden Sie auf der Seite "Logs" des Projekts.

Benutzerdefinierten Scan bearbeiten

So bearbeiten Sie einen benutzerdefinierten Scan:

  1. Melden Sie sich in dem Testkonto an, mit dem Sie den Scan erstellt haben.
  2. Rufen Sie in der Google Cloud Console die Seite Web Security Scanner auf.
    Zur Seite "Web Security Scanner"
  3. Klicken Sie auf Auswählen und wählen Sie das Projekt aus, das den Scan enthält, den Sie bearbeiten möchten.
  4. Klicken Sie unter Scankonfigurationen auf den Namen des Scans, den Sie bearbeiten möchten.
  5. Klicken Sie auf der daraufhin angezeigten Seite "Scandetails" auf Bearbeiten.
  6. Nehmen Sie auf der Seite [Name des Scans] bearbeiten die gewünschten Änderungen vor und klicken Sie dann auf Speichern.

Der bearbeitete benutzerdefinierte Scan wird bei der nächsten Planung ausgeführt. Sie können ihn auch manuell ausführen, um aktualisierte Ergebnisse zu erhalten.

Benutzerdefinierten Scan löschen

So löschen Sie einen oder mehrere benutzerdefinierte Scans:

  1. Melden Sie sich in dem Testkonto an, mit dem Sie den Scan erstellt haben.
  2. Rufen Sie in der Google Cloud Console die Seite Web Security Scanner auf.
    Zur Seite "Web Security Scanner"
  3. Klicken Sie auf Auswählen und wählen Sie das Projekt aus, das den Scan enthält, den Sie bearbeiten möchten.
  4. Aktivieren Sie unter Scan-Konfigurationen das Kästchen neben einem oder mehreren Scans, die Sie löschen möchten.
  5. Klicken Sie auf Löschen und dann auf OK.

Alle ausgewählten Scans werden gelöscht.

Scan über statische IP-Adressen einrichten

In diesem Abschnitt wird beschrieben, wie Sie benutzerdefinierte Web Security Scanner-Scans von statischen IP-Adressen aktivieren. Wenn Sie dieses Feature aktivieren, verwendet Web Security Scanner vorhersehbare IP-Adressen, um Ihre öffentlichen Compute Engine- und Google Kubernetes Engine-Anwendungen zu scannen. Dieses Feature befindet sich in der Vorschauphase und die IP-Adressen von Web Security Scanner können sich in einer zukünftigen Version ändern.

Hinweise

Wenn Sie das Feature "Benutzerdefinierte Web Security Scanner-Scans über statische IP-Adressen" verwenden möchten, benötigen Sie Folgendes:

  • Eine öffentliche Compute Engine- oder GKE-Anwendung. Dieses Feature unterstützt derzeit keine App Engine-Anwendungen.
  • Ein Scan, der ohne Authentifizierung oder mit der Authentifizierung durch ein Google-Konto erstellt wurde. Dieses Feature unterstützt derzeit keine Scans, die nicht über ein Google-Konto authentifiziert wurden.

Schritt 1: Firewall konfigurieren

  1. Öffnen Sie in der Google Cloud Console die Seite Firewallregeln.
    Zur Seite "Firewallregeln"
  2. Klicken Sie auf Auswählen und wählen Sie Ihr Projekt aus.
  3. Klicken Sie auf der Seite Firewallregeln auf Firewallregel erstellen.
  4. Legen Sie auf der Seite Firewallregel erstellen die folgenden Werte fest:
    1. Name: Geben Sie web-security-scanner oder einen ähnlichen Namen ein.
    2. Priorität: Wählen Sie eine höhere Priorität (niedriger Wert) als die aller Regeln aus, die den ausgehenden Traffic zu Ihrer Anwendung verweigern.
    3. Quell-IP-Bereiche: Geben Sie 34.66.18.0/26 und 34.66.114.64/26 ein.
    4. Protokolle und Ports: Wählen Sie Alle zulassen aus oder geben Sie die Protokolle und Ports für Ihre Anwendung an. In der Regel können Sie das Kästchen tcp anklicken und dann 80 und 443 für die Ports eingeben.
  5. Wenn Sie alle Werte festgelegt haben, klicken Sie auf Erstellen.

Schritt 2: Scan konfigurieren

Nachdem Sie Ihre Firewall so konfiguriert haben, dass Web Security Scanner vorhersehbare IP-Adressen zulässt, konfigurieren Sie den Scan für die Verwendung vordefinierter IP-Adressen:

  1. Rufen Sie in der Google Cloud Console die Seite Web Security Scanner auf.
    Zur Seite "Web Security Scanner"
  2. Klicken Sie auf Auswählen und wählen Sie Ihr Projekt aus.
  3. Erstellen Sie einen neuen Scan oder bearbeiten Sie einen vorhandenen Scan.
  4. Klicken Sie auf das Kästchen Scans von vordefinierten Quell-IPs ausführen.
  5. Speichern Sie den Scan.

Wenn der Scan das nächste Mal ausgeführt wird, scannt er die öffentlichen Compute Engine- und GKE-Anwendungen, die sich hinter der Firewall befinden.

URLs ausschließen

Sie können bis zu 100 ausgeschlossene URL-Muster angeben, um Testbereiche einer Website während eines benutzerdefinierten Scans zu vermeiden. Web Security Scanner fordert keine Ressourcen an, die mit einem der Ausschlüsse übereinstimmen. In den folgenden Abschnitten wird das Muster beschrieben, das von Web Security Scanner verwendet wird.

Übereinstimmung mit URL-Mustern

Die Übereinstimmung von ausgeschlossenen URLs basiert auf einer Reihe von URLs, die durch Übereinstimmungsmuster definiert werden. Ein Übereinstimmungsmuster ist eine URL mit fünf Segmenten:

  • scheme: z. B. http oder *
  • host: z. B. www.google.com oder *.google.com oder *
  • path: z. B. /*, /foo* oder /foo/bar. *
  • query: zum Beispiel, ?*, ?*foo=bar*
  • fragment: zum Beispiel, #*, #access

Dies ist die grundlegende Syntax:

<exclude-pattern> := <scheme>://<host><path><query><fragment>
<scheme> := '*' | 'http' | 'https'
<host> := '*' | '*.' <any char except '/' and '*'>+
<path> := '/' <any chars except '?' or '#'>
<query> := '?' <any chars except '#'>
<fragment> := '#' <any chars>

Das * in jedem Teil hat die folgende Funktion:

  • scheme: * entspricht entweder HTTP oder HTTPS.
  • host:
    • * entspricht jedem Host.
    • *.hostname entspricht dem angegebenen Host und allen zugehörigen Subdomains.
  • path: * entspricht 0 oder mehr Zeichen.

In einem ausgeschlossenen Muster sind nicht alle Segmente erforderlich.

  • Wenn das Segment scheme nicht angegeben ist, wird standardmäßig Folgendes verwendet: *://.
  • Das Segment host muss immer angegeben sein.
  • Wenn das Segment path nicht angegeben ist, wird standardmäßig Folgendes verwendet:
    • /*, wenn die Segmente query und fragment nicht angegeben sind. Dieser Wert entspricht jedem path oder keinem path.
    • / oder ein leerer path, wenn das Segment query oder fragment angegeben ist.
  • Wenn das Segment query nicht angegeben ist, wird standardmäßig Folgendes verwendet:
    • ?*, wenn das Segment fragment nicht angegeben ist. Dieser Wert entspricht jedem query oder keinem query.
    • ? oder eine leere query, wenn das fragment angegeben ist.
  • Wenn das Segment fragment nicht angegeben ist, wird standardmäßig #* verwendet, was jedem fragment oder keinem fragment entspricht.

Gültige Musterübereinstimmungen

Die folgende Tabelle enthält Beispiele für gültige Muster.

Muster Verhalten Beispiele für übereinstimmende URLs
http://*/* Entspricht jeder URL, die das HTTP-Schema verwendet.

http://www.google.com/

http://example.org/foo/bar.html
http://*/foo* Entspricht jeder URL, die das HTTP-Schema auf einem beliebigen Host verwendet, wenn der Pfad mit /foo beginnt.

http://example.com/foo/bar.html

http://www.google.com/foo
https://*.google.com/foo*bar Entspricht jeder URL, die das HTTPS-Schema verwendet und sich auf einem google.com-Host befindet (z. B. www.google.com, docs.google.com oder google.com), wenn der Pfad mit /foo beginnt und mit bar endet.

http://www.google.com/foo/baz/bar

http://docs.google.com/foobar
http://example.org/foo/bar.html Entspricht der angegebenen URL. http://example.org/foo/bar.html
http://127.0.0.1/* Entspricht jeder URL, die das HTTP-Schema verwendet und sich auf dem Host 127.0.0.1 befindet.

http://127.0.0.1/

http://127.0.0.1/foo/bar.html
*://mail.google.com/* Entspricht jeder URL, die mit http://mail.google.com oder https://mail.google.com beginnt.

http://mail.google.com/foo/baz/bar

https://mail.google.com/foobar
*://*/foo*?*bar=baz* Stimmt mit jeder URL überein, bei der der Pfad mit /foo beginnt und den Abfrageparameter bar=baz hat. https://www.google.com/foo/example?bar=baz
google.com/app#*open* Gleicht jede URL mit einem google.com-Host ab, bei dem der Pfad mit /app beginnt und das Fragment open hat. https://www.google.com/app/example#open

Ungültige Musterübereinstimmungen

Die folgende Tabelle enthält Beispiele für ungültige Muster:

Muster Grund
http://www.google.com Die URL enthält keinen Pfad.
http://*foo/bar Auf * im Host muss ein . oder / folgen.
http://foo.*.bar/baz Wenn * im Host angegeben ist, muss dies das erste Zeichen sein.
http:/bar Das Trennzeichen für das URL-Schema hat nicht das richtige Format. Der "/" sollte "//" lauten.
foo://* Das URL-Schema ist ungültig.

Nächste Schritte