Benutzerdefinierte Scans mit Web Security Scanner einrichten

Mit dem Web Security Scanner in der Google Cloud Console können Sie benutzerdefinierte Scans für eine bereitgestellte Anwendung planen und ausführen. Web Security Scanner unterstützt Scans nach öffentlichen URLs und IP-Adressen, die sich nicht hinter einer Firewall befinden.

Hinweise

So richten Sie benutzerdefinierte Scans mit Web Security Scanner ein:

  • Sie müssen eine bereitgestellte Anwendung unter einer öffentlichen URL oder IP-Adresse haben.
  • Security Command Center muss aktiviert sein.

Prüfen Sie Ihre Anwendung vor dem Scannen sorgfältig auf Funktionen, die möglicherweise auf Daten, Nutzer oder Systeme außerhalb des ausgewählten Scanumfangs auswirken.

Da Web Security Scanner Felder ausfüllt, auf Schaltflächen und Links klickt und andere Interaktionen ausführt, sollte dieses Tool mit Vorsicht verwenden. Web Security Scanner kann Features aktivieren, die den Status Ihrer Daten oder Ihres Systems ändern, was zu unerwünschten Ergebnissen führt. Beispiel:

  • In einem Blog, in dem öffentlich kommentiert werden kann, postet Web Security Scanner möglicherweise Teststrings als Kommentare für alle Blogartikel.
  • Auf einer E-Mail-Anmeldeseite generiert Web Security Scanner möglicherweise eine hohe Anzahl von Test-E-Mails.

Tipps zum Reduzieren von Risiken finden Sie in den Best Practices zur Vermeidung unbeabsichtigter Folgen.

Web Security Scanner aktivieren

Aktivieren Sie Web Security Scanner in Security Command Center, um benutzerdefinierte Scans.

Wenn Security Command Center aktiv ist, Web Security Scanner in der Google Cloud Console auf der Security Command Center Seite Einstellungen

Schritt 1: Testanwendung bereitstellen

Für die Einrichtung von Web Security Scanner für benutzerdefinierte Scans benötigen Sie die URL einer Compute Engine-, GKE- (Google Kubernetes Engine) oder App Engine-Anwendung, die bereits bereitgestellt wurde. Wenn Sie noch keine Anwendung bereitgestellt haben oder Web Security Scanner mit einer Testanwendung ausprobieren möchten, App Engine-Anwendung Verwenden Sie die gewünschte Sprache:

Schritt 2: IAM-Rollen zuweisen

Zum Ausführen eines Web Security Scanner-Scans benötigen Sie eine der folgenden IAM-Rollen (Identity and Access Management, Identitäts- und Zugriffsverwaltung) für das Projekt, das Sie scannen möchten:

  • Bearbeiter
  • Inhaber

So fügen Sie eine der folgenden Rollen hinzu:

  1. Rufen Sie in der Google Cloud Console die Seite IAM & Verwaltung auf.

    Zur Seite "IAM & Verwaltung"

  2. Klicken Sie auf die Drop-down-Liste Projektauswahl.

  3. Wählen Sie im angezeigten Dialogfeld Auswählen aus das Projekt aus, das Sie mit Web Security Scanner scannen möchten.

  4. Klicken Sie auf der Seite "IAM" neben Ihrem Nutzernamen auf Bearbeiten.

  5. Klicken Sie im angezeigten Bereich Berechtigungen bearbeiten auf Weitere Rolle hinzufügen und wählen Sie eine der folgenden Rollen aus:

    • Projekt > Inhaber
    • Projekt > Bearbeiter

  6. Wenn Sie mit dem Hinzufügen von Rollen fertig sind, klicken Sie auf Speichern.

Weitere Informationen zu Web Security Scanner-Rollen

Schritt 3: Scan ausführen

Wenn Sie einen Scan einrichten, wird er später in die Warteschlange gestellt. Abhängig von der aktuellen Auslastung kann es mehrere Stunden dauern, bis ein Scan ausgeführt wird. So erstellen, speichern und führen Sie einen Scan durch:

  1. Rufen Sie in der Google Cloud Console die Seite Web Security Scanner auf.

    Zu "Web Security Scanner"

  2. Wählen Sie das Projekt aus, das die bereitgestellte Anwendung enthält, die Sie scannen möchten.

  3. Klicken Sie auf Neuer Scan, um einen neuen Scan einzurichten:

  4. Legen Sie auf der Seite Neuen Scan erstellen die folgenden Werte fest:

    1. Geben Sie unter Start-URLs die URL der Anwendung ein, die Sie scannen möchten.
    2. Wählen Sie unter Zeitplan die Option Wöchentlich aus.
    3. Wählen Sie unter Nächste Ausführung am ein Datum aus.

    Das Kästchen Export in Security Command Center wird automatisch aktiviert. Wenn Sie Web Security Scanner als Sicherheitsquelle des Security Command Center aktiviert haben, können die Scanergebnisse in der Google Cloud Console angezeigt werden.

    Verwenden Sie für diesen ersten Scan den Standardscan, ohne andere Werte auf der Seite Neuen Scan erstellen zu ändern. Weitere Informationen zu den Scaneinstellungen Siehe App scannen.

  5. Klicken Sie auf Speichern, um den Scan zu erstellen.

  6. Klicken Sie auf der Web Security Scanner-Seite auf den Namen des Scans, um die zugehörige Übersicht zu laden und klicken Sie dann auf Scan ausführen.

    Der Scan wird in die Warteschlange gestellt und anschließend ausgeführt. Es kann einige Stunden dauern, bis der Scan ausgeführt wird.

  7. Auf der Übersichtsseite des Scanvorgangs wird ein Ergebnisbereich angezeigt, wenn der Scan abgeschlossen ist. Die folgende Abbildung zeigt Beispielscanergebnisse, wenn keine Sicherheitslücken erkannt werden:

    Wenn Sie Web Security Scanner als Sicherheitsquelle von Web Security Scanner aktiviert haben, werden die Scanergebnisse auch in der Google Cloud Console angezeigt.

    Klicken Sie in den Scanergebnissen auf den Namen eines Ergebnisses, um Details zu diesem Ergebnis anzuzeigen.

Sie haben jetzt einen einfachen Web Security Scanner-Scan durchgeführt. Wenn Sie Ihre eigene Anwendung gescannt haben, können Sie den Scan im Abschnitt Anwendung scannen auf dieser Seite anpassen.

Wenn Sie eine Testanwendung zum Ausführen des Scans bereitgestellt haben, führen Sie den folgenden Schritt zur Bereinigung auf dieser Seite aus, um zu vermeiden, dass App Engine-Gebühren für die Anwendung anfallen.

Schritt 4: Bereinigen

  1. In the Google Cloud console, go to the Manage resources page.

    Go to Manage resources

  2. In the project list, select the project that you want to delete, and then click Delete.
  3. In the dialog, type the project ID, and then click Shut down to delete the project.

Anwendung scannen

Richten Sie mithilfe eines Testkontos einen benutzerdefinierten Scan für Ihre Anwendung ein.

Schritt 1: Testkonto erstellen

Wenn Sie Ihre Anwendung scannen, sollten Sie ein Testkonto verwenden, das keinen Zugriff auf sensible Daten oder schädliche Vorgänge hat. Erstellen Sie ein Testkonto, mit dem Sie sich bei Ihrer Anwendung anmelden können. Notieren Sie sich die Anmeldedaten, die beim Erstellen eines Scans zur Authentifizierung zur Verfügung gestellt werden. Mit den Anmeldedaten können Sie das Testkonto zum Scannen von Daten verwenden.

Schritt 2: Scan erstellen

  1. Rufen Sie in der Google Cloud Console die Seite Web Security Scanner auf.

    Zu "Web Security Scanner"

  2. Klicken Sie auf Auswählen und wählen Sie ein Projekt aus, in dem bereits eine App Engine-, Compute Engine- oder GKE-Anwendung bereitgestellt wurde.

  3. Klicken Sie auf Scan erstellen oder Neuer Scan, um das neue Scanformular anzuzeigen.

  4. Orientieren Sie sich an der folgenden Tabelle, um dem neuen Scanformular Werte hinzuzufügen:

    Feld Beschreibung
    Start-URLs

    Eine einfache Website benötigt in der Regel nur eine einzige Start-URL, z. B. die Start-, Haupt- oder Landingpage der Website, über die Web Security Scanner alle anderen Seiten der Website finden kann. Web Security Scanner findet jedoch möglicherweise nicht alle Seiten, wenn

    • Viele Seiten
    • Inseln mit nicht verbundenen Seiten
    • eine Navigation hat, die ein komplexes JavaScript erfordert, etwa ein Mouseover-Menü mit mehreren Ebenen.

    Geben Sie in solchen Fällen zusätzliche Start-URLs an, damit der Scan eine größere Anzahl an Seiten abdeckt.

    Ausgeschlossene URLs Ausschlüsse werden mithilfe einer vereinfachten Proto-Sprache definiert, die einen oder mehrere *-Platzhalter verwendet, anstatt einen gültigen regulären Ausdruck zu erfordern. Weitere Informationen und Beispiele zu gültigen Mustern finden Sie weiter unten auf dieser Seite unter URLs ausschließen.
    Authentifizierung > Google-Konto

    Sie können in Gmail ein Testkonto erstellen und es dann verwenden, um Ihr Produkt zu scannen. Wenn Sie Google Workspace-Kunde sind, können Sie Testkonten in Ihrer Domain erstellen, z. B. test-account@yourdomain.com. In Web Security Scanner werden Konten funktionieren wie Gmail-Konten. Die Zwei-Faktor-Authentifizierung wird nicht unterstützt.

    Bitte beachten Sie, dass Sie für Google-Konten nach der Richtlinie von Google Ihren Klarnamen verwenden müssen. Wenn der Name Ihres Testkontos nicht echt aussieht, wird das Konto möglicherweise blockiert.

    Authentifizierung > Identity-Aware Proxy (Alpha)

    Informationen zum Schutz von Ressourcen mit Identity-Aware Proxy finden Sie im IAP-Leitfaden.

    Wenn Sie Web Security Scanner mit einer durch IAP geschützten Ressource verwenden möchten, gewähren Sie zuerst Zugriff auf das Web Security Scanner-Dienstkonto:

    1. Rufen Sie in der Google Cloud Console die Seite IAP auf.
    2. Wählen Sie das Projekt aus, das Sie verwenden möchten Web Security Scanner.
    3. Wählen Sie die Anwendungsressource aus, die Sie scannen möchten, und klicken Sie dann im Infofeld auf Hauptkonto hinzufügen.
    4. Geben Sie im Feld Neue Hauptkonten im Bereich Hauptkonten hinzufügen das Web Security Scanner-Dienstkonto in folgender Form ein: service-project-number@gcp-sa-websecurityscanner.iam.gserviceaccount.com.
    5. Wählen Sie in der Drop-down-Liste Rolle auswählen die Option Cloud IAP > Nutzer von IAP-gesicherten Web-Apps.
    6. Wenn Sie mit dem Hinzufügen von Rollen fertig sind, klicken Sie auf Speichern.

    Fügen Sie als Nächstes die OAuth-Client-ID hinzu. Web Security Scanner kann nur Anwendungen scannen, die durch eine einzelne OAuth-Client-ID geschützt sind. So fügen Sie die OAuth-Client-ID hinzu:

    1. Gehen Sie zur IAP-Seite in der Google Cloud Console.
    2. Wählen Sie das Projekt aus, das Sie mit Web Security Scanner verwenden möchten.
    3. Wählen Sie im Dreipunkt-Menü die Option OAuth-Client bearbeiten aus.
    4. Kopieren Sie im angezeigten Fenster Client-ID für Webanwendung die Client-ID.
    5. Rufen Sie in der Google Cloud Console die Seite Web Security Scanner auf.
    6. Wählen Sie unter Authentication (Authentifizierung) Folgendes aus: Identity-Aware Proxy Alpha.
    7. Fügen Sie in das Feld OAuth2-Client-ID die OAuth-Client-ID ein, den Sie kopiert haben, und klicken Sie dann auf Speichern.
    Authentifizierung > Konto eines Drittanbieters

    Wählen Sie diese Option aus, wenn Sie ein eigenes Authentifizierungssystem erstellt haben und keine Google-Kontodienste verwenden. Geben Sie die URL für das Anmeldeformular, den Nutzernamen und das Passwort ein. Diese Anmeldedaten werden zum Anmelden in Ihrer Anwendung und zum Scannen verwendet.

    Web Security Scanner versucht, Heuristik zum Anmelden in Ihrer Anwendung und zum Scannen zu verwenden. Diese Methode sucht insbesondere nach zwei Feld Anmeldeformular, das ein username-Feld und password. Die Anmeldung muss ein Authentifizierungs-Cookie generieren, damit der Scanner den Scan fortsetzen kann.

    Die folgenden häufigen Probleme können dazu führen, dass die benutzerdefinierte Anmeldung fehlschlägt:

    • Verwendung von nicht standardmäßigen HTML-Formularfeldern, z. B. ohne password-Typ.
    • Die Verwendung eines komplizierten Anmeldeformulars, z. B. eines Formulars, das mehr als einzelne username und password ein.
    • Ein Authentifizierungscookie wird bei erfolgreicher Anmeldung beispielsweise nicht gespeichert.
    • In einigen Situationen kann der Scanner von Gegenmaßnahmen abgelehnt werden, die vor Bots, DDOS und anderen Angriffen schützen sollen.

    Für eine einheitliche Erfahrung beim authentifizierten Scannen von Anwendungen empfehlen wir die Verwendung von Identity-Aware Proxy.

    Planen Sie können den Scan täglich, wöchentlich, alle zwei Wochen oder alle ausführen vier Wochen. Es empfiehlt sich, einen geplanten Scan zu erstellen, Versionen Ihrer Anwendung getestet. Da wir gelegentlich neue Scanner veröffentlichen, die neue Fehlertypen finden, und einen geplanten Scan ausführen. bietet eine größere Abdeckung ohne manuellen Aufwand.
    Scans von einem vordefinierten Satz von Quell-IP-Adressen ausführen (Vorschau) Wählen Sie diese Option aus, um den Scan-Traffic auf eine vordefinierte Gruppe von IP-Adressen zu beschränken. So können Sie den Scanner für den Zugriff auf Anwendungen aktivieren hinter einer Firewall schützen, aber möglicherweise den Umfang des Scans einschränken. Informationen zum Ändern der Firewallregeln, um Web Security Scanner-Traffic zuzulassen, finden Sie unter Firewall konfigurieren weiter unten auf dieser Seite.
    Exportoptionen Wählen Sie diese Option aus, um Scankonfigurationen und Scanergebnisse im Security Command Center.
    HTTP-Statusfehler ignorieren Mit dieser Option wird festgelegt, ob eine hohe Anzahl von HTTP-Status wie z. B. **400 Bad Request**, dass während eines Scans führen dazu, dass der Scan als fehlgeschlagen gemeldet wird. Wenn die Option ausgewählt ist, werden Statusfehler ignoriert. Ist die Option nicht ausgewählt und der der Statusfehler einen festgelegten Schwellenwert überschreitet, Scan wird als fehlgeschlagen gemeldet.

  5. Wenn Sie keine weiteren Werte mehr hinzufügen möchten, klicken Sie auf Speichern. Sie können jetzt das neue zu überprüfen.

Standardmäßig verwendet Web Security Scanner bei jeder Ausführung zufällig zugewiesene IP-Adressen. Um die Web Security Scanner-IP-Adressen vorhersehbar zu machen, führen Sie die Schritte zum Aktivieren von Scans von statischen IP-Adressen unten auf dieser Seite aus.

Schritt 3: Scan ausführen

So führen Sie einen Scan aus:

  1. Melden Sie sich in dem Testkonto an, mit dem Sie den Scan erstellt haben.

  2. Rufen Sie in der Google Cloud Console die Seite Web Security Scanner auf.

    Zu "Web Security Scanner"

  3. Klicken Sie auf Auswählen und wählen Sie das Projekt aus, in dem Sie den Scan erstellt haben.

  4. Klicken Sie unter Scankonfigurationen auf den Namen des Scans, den Sie ausführen möchten.

  5. Klicken Sie auf der Seite mit den Scandetails auf Ausführen.

Der Scan wird in eine Warteschlange gestellt. Es kann möglicherweise etwas dauern, bis er ausgeführt wird. Die Ausführung kann je nach Systemauslastung und den folgenden Faktoren mehrere Minuten bis mehrere Stunden dauern:

  • Komplexität der Website
  • Anzahl der anwendbaren Elemente pro Seite
  • Anzahl der Links
  • Die Menge an JavaScript auf der Website, einschließlich Navigation

Sie können bis zu zehn verschiedene Scans einrichten und ausführen, bevor Sie zuvor gespeicherte Ergebnisse löschen oder bereinigen müssen.

Benutzerdefinierte Scanergebnisse ansehen

Der Status und die Ergebnisse eines benutzerdefinierten Scans werden auf der Detailseite des Scans in der Google Cloud Console angezeigt. So rufen Sie die Scanergebnisse auf:

  1. Melden Sie sich in dem Testkonto an, mit dem Sie den Scan erstellt haben.

  2. Rufen Sie in der Google Cloud Console die Seite Web Security Scanner auf.

    Zu "Web Security Scanner"

  3. Klicken Sie auf Auswählen und wählen Sie das Projekt aus, das den Scan enthält. die Sie überprüfen möchten.

  4. Klicken Sie unter Scankonfigurationen auf den Namen des Scans, den Sie ansehen möchten.

Auf der Seite mit den Scandetails werden die Ergebnisse des letzten Scans angezeigt. Wenn ein Scan läuft, wird auf dem Tab Results (Ergebnisse) der aktuelle Fortschritt angezeigt. Prozent. Wählen Sie aus der Drop-down-Liste das Datum und die Uhrzeit des Scans aus, um Ergebnisse aus früheren Scans anzuzeigen.

Abgeschlossene benutzerdefinierte Scans umfassen folgende Details:

  • Auf dem Tab Ergebnisse wird eine Liste der vom Scan gefundenen Sicherheitslücken angezeigt, sofern welche gefunden.
  • Auf dem Tab Gecrawlte URLs wird eine Liste der URLs angezeigt, die vom Scan geprüft wurden.

  • Auf dem Tab Details finden Sie folgende Informationen:

    • Start-URLs
    • Authentication
    • User-Agent
    • Maximale Scangeschwindigkeit als Abfragen pro Sekunde (Queries per Second, QPS)

Weitere Informationen zum Scan finden Sie auf der Seite „Protokolle“ des Projekts.

Benutzerdefinierten Scan bearbeiten

So bearbeiten Sie einen benutzerdefinierten Scan:

  1. Melden Sie sich in dem Testkonto an, mit dem Sie den Scan erstellt haben.

  2. Rufen Sie in der Google Cloud Console die Seite Web Security Scanner auf.

    Zu "Web Security Scanner"

  3. Klicken Sie auf Auswählen und wählen Sie das Projekt aus, das den Scan enthält, den Sie bearbeiten möchten.

  4. Klicken Sie unter Scankonfigurationen auf den Namen des Scans, den Sie bearbeiten möchten.

  5. Klicken Sie auf der daraufhin angezeigten Seite "Scandetails" auf Bearbeiten.

  6. Nehmen Sie auf der Seite [Scanname]bearbeiten die gewünschten Änderungen vor. und klicken Sie dann auf Speichern.

Der bearbeitete benutzerdefinierte Scan wird bei der nächsten Planung ausgeführt. Sie können ihn aber auch manuell ausführen. um aktuelle Ergebnisse zu erhalten.

Benutzerdefinierten Scan löschen

So löschen Sie einen oder mehrere benutzerdefinierte Scans:

  1. Melden Sie sich in dem Testkonto an, mit dem Sie den Scan erstellt haben.

  2. Rufen Sie in der Google Cloud Console die Seite Web Security Scanner auf.

    Zu "Web Security Scanner"

  3. Klicken Sie auf Auswählen und wählen Sie das Projekt aus, das den Scan enthält. die Sie bearbeiten möchten.

  4. Aktivieren Sie unter Scan-Konfigurationen das Kästchen neben einem oder mehreren Scans, die Sie löschen möchten.

  5. Klicken Sie auf Löschen und dann auf OK.

Alle ausgewählten Scans werden gelöscht.

Scan über statische IP-Adressen einrichten

In diesem Abschnitt wird beschrieben, wie Sie benutzerdefinierte Scans von Web Security Scanner über statische IP-Adressen. Wenn Sie diese Funktion aktivieren, verwendet Web Security Scanner Vorhersehbare IP-Adressen zum Scannen Ihrer öffentlichen Compute Engine und Google Kubernetes Engine Anwendungen. Diese Funktion befindet sich in der Vorabversion und in der IP-Adresse von Web Security Scanner Adressen können sich in zukünftigen Versionen ändern.

Hinweise

Wenn Sie das Feature "Benutzerdefinierte Web Security Scanner-Scans über statische IP-Adressen" verwenden möchten, benötigen Sie Folgendes:

  • Eine öffentliche Compute Engine- oder GKE-Anwendung. Dieses Feature unterstützt keine App Engine-Anwendungen.
  • Ein Scan, der ohne Authentifizierung oder mit einer Google-Kontoauthentifizierung erstellt wurde. Diese Funktion unterstützt keine Scans, die nicht über ein Google-Konto authentifiziert wurden.

Schritt 1: Firewall konfigurieren

  1. Rufen Sie in der Google Cloud Console die Seite "Firewallregeln" auf.

    Zu Firewallregeln

  2. Klicken Sie auf Auswählen und wählen Sie Ihr Projekt aus.

  3. Klicken Sie auf der Seite Firewallregeln auf Firewallregel erstellen.

  4. Legen Sie auf der Seite Firewallregel erstellen die folgenden Werte fest:

    1. Name: Geben Sie web-security-scanner oder einen ähnlichen Namen ein.
    2. Priorität: Wählen Sie eine höhere Priorität (niedriger Wert) als die aller Regeln aus, die den ausgehenden Traffic zu Ihrer Anwendung verweigern.
    3. Quell-IP-Bereiche: Geben Sie 34.66.18.0/26 und 34.66.114.64/26 ein.
    4. Protokolle und Ports: Wählen Sie Alle zulassen aus oder geben Sie die Protokolle und Ports für Ihre Anwendung an. Normalerweise können Sie das Protokoll tcp auswählen. und geben Sie dann 80 und 443 für die Ports ein.

  5. Wenn Sie alle Werte festgelegt haben, klicken Sie auf Erstellen.

Schritt 2: Scan konfigurieren

Nachdem Sie Ihre Firewall so konfiguriert haben, dass Web Security Scanner vorhersehbare IP-Adressen zulässt, konfigurieren Sie den Scan für die Verwendung vordefinierter IP-Adressen:

  1. Rufen Sie in der Google Cloud Console die Seite Web Security Scanner auf.

    Zu "Web Security Scanner"

  2. Klicken Sie auf Auswählen und wählen Sie Ihr Projekt aus.

  3. Erstellen Sie einen neuen Scan oder bearbeiten Sie einen vorhandenen Scan.

  4. Klicken Sie auf das Kästchen Scans von vordefinierten Quell-IPs ausführen.

  5. Speichern Sie den Scan.

Wenn der Scan das nächste Mal ausgeführt wird, scannt er die öffentlichen Compute Engine- und GKE-Anwendungen, die sich hinter der Firewall befinden.

URLs ausschließen

Sie können bis zu 100 ausgeschlossene URL-Muster angeben, um Testbereiche einer Website während eines benutzerdefinierten Scans zu vermeiden. Web Security Scanner fordert keine Ressourcen an, die mit einem der Ausschlüsse übereinstimmen. In den folgenden Abschnitten wird das Muster beschrieben, das von Web Security Scanner verwendet wird.

Übereinstimmung mit URL-Mustern

Die Übereinstimmung von ausgeschlossenen URLs basiert auf einer Reihe von URLs, die durch Übereinstimmungsmuster definiert werden. Ein Übereinstimmungsmuster ist eine URL mit fünf Segmenten:

  • scheme: z. B. http oder *
  • host: z. B. www.google.com oder *.google.com oder *
  • path: z. B. /*, /foo* oder /foo/bar. *
  • query: zum Beispiel, ?*, ?*foo=bar*
  • fragment: zum Beispiel, #*, #access

Dies ist die grundlegende Syntax:

<exclude-pattern> := <scheme>://<host><path><query><fragment>
<scheme> := '*' | 'http' | 'https'
<host> := '*' | '*.' <any char except '/' and '*'>+
<path> := '/' <any chars except '?' or '#'>
<query> := '?' <any chars except '#'>
<fragment> := '#' <any chars>

Das * in jedem Teil hat die folgende Funktion:

  • scheme: * entspricht entweder HTTP oder HTTPS.

  • host:

    • * entspricht jedem Host.
    • *.hostname entspricht dem angegebenen Host und allen zugehörigen Subdomains.

  • path: * entspricht 0 oder mehr Zeichen.

In einem ausgeschlossenen Muster sind nicht alle Segmente erforderlich.

  • Wenn das Segment scheme nicht angegeben ist, wird standardmäßig Folgendes verwendet: *://.
  • Das Segment host muss immer angegeben sein.

  • Wenn das Segment path nicht angegeben ist, wird standardmäßig Folgendes verwendet:

    • /*, wenn die Segmente query und fragment nicht angegeben sind. Dieser Wert entspricht jedem path oder keinem path.
    • / oder ein leerer path, wenn das Segment query oder fragment angegeben ist.

  • Wenn das Segment query nicht angegeben ist, wird standardmäßig Folgendes verwendet:

    • ?*, wenn das Segment fragment nicht angegeben ist. Dieser Wert entspricht jedem query oder keinem query.
    • ? oder eine leere query, wenn das fragment angegeben ist.

  • Wenn das Segment fragment nicht angegeben ist, wird standardmäßig #* verwendet, was jedem fragment oder keinem fragment entspricht.

Gültige Musterübereinstimmungen

Die folgende Tabelle enthält Beispiele für gültige Muster.

Muster Verhalten Beispiele für übereinstimmende URLs
http://*/* Entspricht jeder URL, die das HTTP-Schema verwendet.

http://www.google.com/

http://example.org/foo/bar.html
http://*/foo* Entspricht jeder URL, die das HTTP-Schema auf einem beliebigen Host verwendet, wenn der Pfad mit /foo beginnt.

http://example.com/foo/bar.html

http://www.google.com/foo
https://*.google.com/foo*bar Entspricht jeder URL, die das HTTPS-Schema verwendet und sich auf einem google.com-Host wie www.google.com, docs.google.com oder google.com befindet, wenn der Pfad mit /foo beginnt und mit bar endet.

http://www.google.com/foo/baz/bar

http://docs.google.com/foobar
http://example.org/foo/bar.html Entspricht der angegebenen URL. http://example.org/foo/bar.html
http://127.0.0.1/* Entspricht jeder URL, die das HTTP-Schema verwendet und sich auf dem Host 127.0.0.1 befindet.

http://127.0.0.1/

http://127.0.0.1/foo/bar.html
*://mail.google.com/* Entspricht jeder URL, die mit http://mail.google.com oder https://mail.google.com beginnt.

http://mail.google.com/foo/baz/bar

https://mail.google.com/foobar
*://*/foo*?*bar=baz* Stimmt mit jeder URL überein, bei der der Pfad mit /foo beginnt und den Abfrageparameter bar=baz hat. https://www.google.com/foo/example?bar=baz
google.com/app#*open* Entspricht jeder URL mit einem google.com-Host, bei dem der Pfad beginnt durch /app und enthält das Fragment open. https://www.google.com/app/example#open

Ungültige Musterübereinstimmungen

Die folgende Tabelle enthält Beispiele für ungültige Muster:

Muster Grund
http://www.google.com Die URL enthält keinen Pfad.
http://*foo/bar Auf * im Host muss ein . oder / folgen
http://foo.*.bar/baz Wenn * im Host angegeben ist, muss es das erste Zeichen sein.
http:/bar Das Trennzeichen für das URL-Schema hat nicht das richtige Format. Der "/" sollte "//" lauten.
foo://* Das URL-Schema ist ungültig.

Nächste Schritte