Benutzerdefinierte Scans mit Web Security Scanner einrichten

>

Mit dem Web Security Scanner in der Google Cloud Console können Sie benutzerdefinierte Scans für eine bereitgestellte Anwendung planen und ausführen. Web Security Scanner unterstützt Scans nach öffentlichen URLs und IP-Adressen, die sich nicht hinter einer Firewall befinden.

Das folgende Video zeigt die Schritte zur Einrichtung von Web Security Scanner. Außerdem enthält sie Informationen zur Verwendung des Dashboards. Die Schritte zur Einrichtung werden weiter unten auf dieser Seite in Textform beschrieben.

Hinweis

So richten Sie benutzerdefinierte Scans mit Web Security Scanner ein:

  • Sie müssen eine bereitgestellte Anwendung unter einer öffentlichen URL oder IP-Adresse haben.
  • Ihre Organisation muss Security Command Center aktiviert haben.

Prüfen Sie Ihre Anwendung vor dem Scan sorgfältig auf Funktionen, die über den gewünschten Scanumfang hinausgehen und dadurch Daten, Nutzer oder Systeme beeinträchtigen könnten.

Da Web Security Scanner Felder ausfüllt, auf Schaltflächen und Links klickt und andere Interaktionen ausführt, sollte dieses Tool mit Vorsicht verwenden. Web Security Scanner kann Features aktivieren, die den Status Ihrer Daten oder Ihres Systems ändern, was zu unerwünschten Ergebnissen führt. Beispiel:

  • In einem Blog, in dem öffentlich kommentiert werden kann, postet Web Security Scanner möglicherweise Teststrings als Kommentare für alle Blogartikel.
  • Auf einer E-Mail-Anmeldeseite generiert Web Security Scanner möglicherweise eine hohe Anzahl von Test-E-Mails.

Tipps zum Reduzieren von Risiken finden Sie in den Best Practices zur Vermeidung unbeabsichtigter Folgen.

Web Security Scanner aktivieren

Aktivieren Sie Web Security Scanner, um benutzerdefinierte Scans zu erstellen und auszuführen. Security Command Center muss für Ihre Organisation aktiviert sein.

Schritt 1: Testprojekt bereitstellen

Für die Einrichtung von Web Security Scanner für benutzerdefinierte Scans benötigen Sie die URL einer Compute Engine-, GKE- (Google Kubernetes Engine) oder App Engine-Anwendung, die bereits bereitgestellt wurde. Wenn Sie keine bereitgestellte Anwendung haben oder Web Security Scanner mit einer Testanwendung testen möchten, stellen Sie die App Engine-Testanwendung bereit. Verwenden Sie die gewünschte Sprache:

Schritt 2: IAM-Rollen zuweisen

Zum Ausführen eines Web Security Scanner-Scans benötigen Sie eine der folgenden IAM-Rollen (Identity and Access Management, Identitäts- und Zugriffsverwaltung) für das Projekt, das Sie scannen möchten:

  • Bearbeiter
  • Inhaber

So fügen Sie eine der folgenden Rollen hinzu:

  1. Rufen Sie in der Cloud Console die Seite IAM & Verwaltung auf.
    Zur Seite IAM & Verwaltung
  2. Klicken Sie auf die Drop-down-Liste Projektauswahl.
  3. Wählen Sie im angezeigten Dialogfeld Auswählen aus das Projekt aus, das Sie mit Web Security Scanner scannen möchten.
  4. Klicken Sie auf der Seite "IAM" neben Ihrem Nutzernamen auf Bearbeiten.
  5. Klicken Sie im angezeigten Feld Berechtigungen bearbeiten auf Weitere Rolle hinzufügen und wählen Sie eine der folgenden Rollen aus:
    • Projekt > Inhaber
    • Projekt > Bearbeiter
  6. Wenn Sie mit dem Hinzufügen von Rollen fertig sind, klicken Sie auf Speichern.

Weitere Informationen zu Web Security Scanner-Rollen

Schritt 3: Scan ausführen

Wenn Sie einen Scan einrichten, wird er später in die Warteschlange gestellt. Abhängig von der aktuellen Auslastung kann es mehrere Stunden dauern, bis ein Scan ausgeführt wird. So erstellen, speichern und führen Sie einen Scan durch:

  1. Rufen Sie in der Cloud Console die Seite Web Security Scanner auf.
    Zur Seite "Web Security Scanner"
  2. Wählen Sie das Projekt aus, das die bereitgestellte Anwendung enthält, die Sie scannen möchten.
  3. Klicken Sie auf Neuer Scan, um einen neuen Scan einzurichten:
  4. Legen Sie auf der Seite Neuen Scan erstellen die folgenden Werte fest:

    1. Geben Sie unter Start-URLs die URL der Anwendung ein, die Sie scannen möchten.
    2. Wählen Sie unter Zeitplan die Option Wöchentlich aus.
    3. Wählen Sie unter Nächste Ausführung am ein Datum aus.

    Das Kästchen Export in Security Command Center wird automatisch aktiviert. Wenn Sie Web Security Scanner als Sicherheitsquelle der Sicherheitsbefehlszentrale aktiviert haben, können die Suchergebnisse im Sicherheitsbefehlsdashboard angezeigt werden.

    Verwenden Sie für diesen ersten Scan den Standardscan, ohne andere Werte auf der Seite Neuen Scan erstellen zu ändern. Weitere Informationen zu Scaneinstellungen finden Sie unter Anwendung scannen.

  5. Klicken Sie auf Speichern, um den Scan zu erstellen.

  6. Klicken Sie auf der Seite "Web Security Scanner" auf den Namen des Scans, um die zugehörige Übersichtsseite zu laden, und klicken Sie dann auf Scan ausführen.

    Der Scan wird in die Warteschlange gestellt und anschließend ausgeführt. Es kann einige Stunden dauern, bis der Scan ausgeführt wird.

  7. Auf der Übersichtsseite des Scanvorgangs wird ein Ergebnisbereich angezeigt, wenn der Scan abgeschlossen ist. Die folgende Abbildung zeigt Beispielscanergebnisse, wenn keine Sicherheitslücken erkannt werden:

    Wenn Sie Web Security Scanner als Sicherheitsquelle von Web Security Scanner aktiviert haben, werden die Scanergebnisse auch im Web Security Scanner-Dashboard angezeigt.

    Klicken Sie in den Scanergebnissen auf den Namen eines Ergebnisses, um Details zu diesem Ergebnis anzuzeigen.

Sie haben jetzt einen einfachen Web Security Scanner-Scan durchgeführt. Wenn Sie Ihre eigene Anwendung gescannt haben, beachten Sie die Informationen zum Anpassen des Scans im Abschnitt Anwendung scannen auf dieser Seite.

Wenn Sie eine Testanwendung zum Ausführen des Scans bereitgestellt haben, führen Sie den folgenden Schritt zur Bereinigung auf dieser Seite aus, um zu vermeiden, dass App Engine-Gebühren für die Anwendung anfallen.

Schritt 4: Bereinigen

  1. Wechseln Sie in der Cloud Console zur Seite Ressourcen verwalten.

    Zur Seite „Ressourcen verwalten“

  2. Wählen Sie in der Projektliste das Projekt aus, das Sie löschen möchten, und klicken Sie dann auf Löschen.
  3. Geben Sie im Dialogfeld die Projekt-ID ein und klicken Sie auf Shut down (Beenden), um das Projekt zu löschen.

Anwendung scannen

Richten Sie mithilfe eines Testkontos einen benutzerdefinierten Scan für Ihre Anwendung ein.

Schritt 1: Testkonto erstellen

Wenn Sie Ihre Anwendung scannen, sollten Sie ein Testkonto verwenden, das keinen Zugriff auf sensible Daten oder schädliche Vorgänge hat. Erstellen Sie ein Testkonto, mit dem Sie sich bei Ihrer Anwendung anmelden können. Notieren Sie sich die Anmeldedaten, die beim Erstellen eines Scans zur Authentifizierung zur Verfügung gestellt werden. Mit den Anmeldedaten können Sie das Testkonto zum Scannen von Daten verwenden.

Schritt 2: Scan erstellen

  1. Rufen Sie in der Cloud Console die Seite Web Security Scanner auf.
    Zur Seite "Web Security Scanner"
  2. Klicken Sie auf Auswählen und wählen Sie ein Projekt aus, in dem bereits eine App Engine-, Compute Engine- oder GKE-Anwendung bereitgestellt wurde.
  3. Klicken Sie auf Scan erstellen oder Neuer Scan, um das neue Scanformular anzuzeigen.
  4. Verwenden Sie die folgende Tabelle als Leitfaden, um dem neuen Scanformular Werte hinzuzufügen:
    Feld Beschreibung
    Start-URLs

    Eine einfache Website benötigt in der Regel nur eine einzige Start-URL, z. B. die Start-, Haupt- oder Landingpage der Website, über die Web Security Scanner alle anderen Seiten der Website finden kann. Web Security Scanner findet jedoch möglicherweise nicht alle Seiten, wenn

    • die Seite viele Seiten hat;
    • vereinzelte unverbundene Seiten enthält;
    • eine Navigation hat, die ein komplexes JavaScript erfordert, etwa ein Mouseover-Menü mit mehreren Ebenen.

    Geben Sie in solchen Fällen zusätzliche Start-URLs an, damit der Scan eine größere Anzahl an Seiten abdeckt.

    Ausgeschlossene URLs Ausschlüsse werden mithilfe einer vereinfachten Proto-Sprache definiert, die einen oder mehrere *-Platzhalter verwendet, anstatt einen gültigen regulären Ausdruck zu erfordern. Weitere Informationen und Beispiele zu gültigen Mustern finden Sie weiter unten auf dieser Seite unter URLs ausschließen.
    Authentifizierung > Google-Konto

    Sie können in Gmail ein Testkonto erstellen und es dann verwenden, um Ihr Produkt zu scannen. Wenn Sie Google Workspace-Kunde sind, können Sie Testkonten in Ihrer Domain erstellen, z. B. test-account@yourdomain.com. In Web Security Scanner funktionieren diese Konten wie Gmail-Konten. Die Zwei-Faktor-Authentifizierung wird nicht unterstützt.

    Bitte beachten Sie, dass Sie für Google-Konten nach der Richtlinie von Google Ihren Klarnamen verwenden müssen. Wenn der Name Ihres Testkontos nicht echt aussieht, wird das Konto möglicherweise blockiert.

    Authentifizierung > Identity-Aware Proxy (Alpha)

    Informationen zum Schutz von Ressourcen mit Identity-Aware Proxy finden Sie im IAP-Leitfaden.

    Wenn Sie Web Security Scanner mit einer durch IAP geschützten Ressource verwenden möchten, fügen Sie zuerst das Web Security Scanner-Dienstkonto als IAP-Mitglied hinzu:

    1. Rufen Sie in der Cloud Console die Seite „IAP“ auf.
    2. Wählen Sie das Projekt aus, das Sie mit Web Security Scanner verwenden möchten.
    3. Wählen Sie die Anwendungsressource aus, die Sie scannen möchten, und klicken Sie dann im Infofeld auf Mitglied hinzufügen.
    4. Geben Sie im Feld Neue Mitglieder im Bereich Mitglieder hinzufügen das Web Security Scanner-Dienstkonto in folgender Form ein.

      service-project-number@gcp-sa-websecurityscanner.iam.gserviceaccount.com.

    5. Wählen Sie in der Drop-down-Liste Rolle auswählen die Option Cloud IAP > Nutzer von IAP-abgesicherten Web-Apps aus.
    6. Wenn Sie mit dem Hinzufügen von Rollen fertig sind, klicken Sie auf Speichern.

    Fügen Sie als Nächstes die OAuth-Client-ID hinzu. Web Security Scanner kann nur Anwendungen scannen, die durch eine einzige OAuth-Client-ID geschützt sind. So fügen Sie die OAuth-Client-ID hinzu:

    1. Rufen Sie in der Cloud Console die Seite „IAP“ auf.
    2. Wählen Sie das Projekt aus, das Sie mit Web Security Scanner verwenden möchten.
    3. Wählen Sie im Dreipunkt-Menü die Option OAuth-Client bearbeiten aus.
    4. Kopieren Sie im angezeigten Fenster Client-ID für Webanwendung die Client-ID.
    5. Rufen Sie in der Cloud Console die Seite Web Security Scanner auf.
    6. Wählen Sie unter Authentifizierung die Option Identity-Aware Proxy (Alpha) aus.
    7. Fügen Sie im Feld OAuth2-Client-ID die kopierte OAuth-Client-ID ein und klicken Sie dann auf Speichern.
    Authentifizierung > Konto eines Drittanbieters

    Wählen Sie diese Option aus, wenn Sie ein eigenes Authentifizierungssystem erstellt haben und keine Google-Kontodienste verwenden. Geben Sie die URL für das Anmeldeformular, den Nutzernamen und das Passwort ein. Diese Anmeldedaten werden zum Anmelden in Ihrer Anwendung und zum Scannen verwendet.

    Web Security Scanner versucht Heuristik, sich bei Ihrer Anwendung anzumelden und diese zu scannen. Insbesondere sucht diese Methode nach einem Anmeldeformular mit zwei Feldern, das die Felder username und password enthält. Der Anmeldevorgang muss ein Authentifizierungscookie erzeugen, damit der Scanner den Scan fortsetzen kann.

    Die folgenden häufigen Probleme können dazu führen, dass die benutzerdefinierte Anmeldung fehlschlägt:

    • Es werden nicht standardmäßige HTML-Formularfelder verwendet, der Typ password wird beispielsweise nicht verwendet.
    • Es wird ein kompliziertes Anmeldeformular verwendet, das beispielsweise mehrere username- und password-Felder hat.
    • Ein Authentifizierungscookie wird bei erfolgreicher Anmeldung beispielsweise nicht gespeichert.
    • In einigen Situationen kann der Scanner von Gegenmaßnahmen abgelehnt werden, die vor Bots, DDOS und anderen Angriffen schützen sollen.

    Für eine einheitliche Erfahrung beim authentifizierten Scannen von Anwendungen empfehlen wir die Verwendung von Identity-Aware Proxy.

    Planen Sie können den Scan so einstellen, dass er täglich, wöchentlich, alle zwei Wochen oder alle vier Wochen ausgeführt wird. Es empfiehlt sich, einen geplanten Scan zu erstellen, um sicherzugehen, dass auch künftige Versionen Ihrer Anwendung geprüft werden. Da wir gelegentlich neue Scanner veröffentlichen, die neue Fehlertypen finden, kann die Ausführung eines geplanten Scans zudem ohne manuellen Aufwand zusätzliche Bereiche abdecken.
  5. Wenn Sie keine weiteren Werte mehr hinzufügen möchten, klicken Sie auf Erstellen. Sie können den neuen Scan jetzt ausführen.

Web Security Scanner nutzt bei jeder Ausführung IP-Adressen zugewiesen nach dem Zufallsprinzip. Es gibt keine vorhersehbare IP-Adresse, die den Firewalls hinzugefügt werden kann, um den Scanner durchzulassen.

Standardmäßig verwendet Web Security Scanner bei jeder Ausführung zufällig zugewiesene IP-Adressen, sodass er keine vorhersehbare IP-Adresse hat, um sie in Ihrer Firewallkonfiguration zu verwenden. Um die Web Security Scanner-IP-Adressen vorhersehbar zu machen, führen Sie die Schritte zum Aktivieren von Scans von statischen IP-Adressen unten auf dieser Seite aus.

Schritt 3: Scan ausführen

So führen Sie einen Scan aus:

  1. Melden Sie sich in dem Testkonto an, mit dem Sie den Scan erstellt haben.
  2. Rufen Sie in der Cloud Console die Seite Web Security Scanner auf.
    Zur Seite "Web Security Scanner"
  3. Klicken Sie auf Auswählen und wählen Sie das Projekt aus, in dem Sie den Scan erstellt haben.
  4. Klicken Sie unter Scankonfigurationen auf den Namen des Scans, den Sie ausführen möchten.
  5. Klicken Sie auf der Seite mit den Scandetails auf Ausführen.

Der Scan wird in eine Warteschlange gestellt. Es kann möglicherweise etwas dauern, bis er ausgeführt wird. Die Ausführung kann je nach Systemauslastung und den folgenden Faktoren mehrere Minuten bis mehrere Stunden dauern:

  • Komplexität der Website
  • Anzahl der anwendbaren Elemente pro Seite
  • Anzahl der Links
  • Die Menge an JavaScript auf der Website, einschließlich Navigation

Sie können bis zu zehn verschiedene Scans einrichten und ausführen, bevor Sie zuvor gespeicherte Ergebnisse löschen oder bereinigen müssen.

Benutzerdefinierte Scanergebnisse ansehen

Der Status und die Ergebnisse eines benutzerdefinierten Scans werden auf der Detailseite des Scans in der Cloud Console angezeigt. So rufen Sie die Scanergebnisse auf:

  1. Melden Sie sich in dem Testkonto an, mit dem Sie den Scan erstellt haben.
  2. Rufen Sie in der Cloud Console die Seite Web Security Scanner auf.
    Zur Seite "Web Security Scanner"
  3. Klicken Sie auf Auswählen und wählen Sie das Projekt mit dem Scan aus, den Sie ansehen möchten.
  4. Klicken Sie unter Scankonfigurationen auf den Namen des Scans, den Sie ansehen möchten.

Auf der Seite mit den Scandetails werden die Ergebnisse des letzten Scans angezeigt. Wenn ein Scan läuft, wird auf dem Tab Ergebnisse der aktuelle Abschlussprozentsatz angezeigt. Wählen Sie aus der Drop-down-Liste das Datum und die Uhrzeit des Scans aus, um Ergebnisse aus früheren Scans anzuzeigen.

Abgeschlossene benutzerdefinierte Scans umfassen folgende Details:

  • Auf dem Tab Ergebnisse wird eine Liste der vom Scan gefundenen Sicherheitslücken angezeigt, sofern welche gefunden.
  • Auf dem Tab Gecrawlte URLs wird eine Liste der URLs angezeigt, die vom Scan geprüft wurden.
  • Auf dem Tab Details finden Sie folgende Informationen:
    • Start-URLs
    • Authentication
    • User-Agent
    • Maximale Scangeschwindigkeit als Abfragen pro Sekunde (Queries per Second, QPS)

Weitere Informationen zum Scan finden Sie auf der Seite "Logs" des Projekts.

Benutzerdefinierten Scan bearbeiten

So bearbeiten Sie einen benutzerdefinierten Scan:

  1. Melden Sie sich in dem Testkonto an, mit dem Sie den Scan erstellt haben.
  2. Rufen Sie in der Cloud Console die Seite Web Security Scanner auf.
    Zur Seite "Web Security Scanner"
  3. Klicken Sie auf Auswählen und wählen Sie das Projekt aus, das den Scan enthält, den Sie bearbeiten möchten.
  4. Klicken Sie unter Scankonfigurationen auf den Namen des Scans, den Sie bearbeiten möchten.
  5. Klicken Sie auf der daraufhin angezeigten Seite "Scandetails" auf Bearbeiten.
  6. Nehmen Sie auf der Seite [Name des Scans] bearbeiten die gewünschten Änderungen vor und klicken Sie dann auf Speichern.

Der bearbeitete benutzerdefinierte Scan wird bei der nächsten Planung ausgeführt. Sie können ihn auch manuell ausführen, um aktualisierte Ergebnisse zu erhalten.

Benutzerdefinierten Scan löschen

So löschen Sie einen oder mehrere benutzerdefinierte Scans:

  1. Melden Sie sich in dem Testkonto an, mit dem Sie den Scan erstellt haben.
  2. Rufen Sie in der Cloud Console die Seite Web Security Scanner auf.
    Zur Seite "Web Security Scanner"
  3. Klicken Sie auf Auswählen und wählen Sie das Projekt aus, das den Scan enthält, den Sie bearbeiten möchten.
  4. Aktivieren Sie unter Scan-Konfigurationen das Kästchen neben einem oder mehreren Scans, die Sie löschen möchten.
  5. Klicken Sie auf Löschen und dann auf OK.

Alle ausgewählten Scans werden gelöscht.

Scan über statische IP-Adressen einrichten

In diesem Abschnitt wird beschrieben, wie Sie das Feature "Benutzerdefinierte Web Security Scanner-Scans über statische IP-Adressen" aktivieren. Wenn Sie dieses Feature aktivieren, verwendet Web Security Scanner vorhersehbare IP-Adressen, um Ihre öffentlichen Compute Engine- und Google Kubernetes Engine-Anwendungen zu scannen. Dieses Feature befindet sich in der Betaphase und die IP-Adressen von Web Security Scanner können sich in einer zukünftigen Version ändern.

Hinweis

Wenn Sie das Feature "Benutzerdefinierte Web Security Scanner-Scans über statische IP-Adressen" verwenden möchten, benötigen Sie Folgendes:

  • Eine öffentliche Compute Engine- oder GKE-Anwendung. Dieses Feature unterstützt derzeit keine App Engine-Anwendungen.
  • Ein Scan, der ohne Authentifizierung oder mit der Authentifizierung durch ein Google-Konto erstellt wurde. Dieses Feature unterstützt derzeit keine Scans, die nicht über ein Google-Konto authentifiziert wurden.

Schritt 1: Firewall konfigurieren

  1. Rufen Sie in der Cloud Console die Seite "Firewallregeln" auf.
    Zur Seite "Firewallregeln"
  2. Klicken Sie auf Auswählen und wählen Sie Ihr Projekt aus.
  3. Klicken Sie auf der Seite Firewallregeln auf Firewallregel erstellen.
  4. Legen Sie auf der Seite Firewallregel erstellen die folgenden Werte fest:
    1. Name: Geben Sie web-security-scanner oder einen ähnlichen Namen ein.
    2. Priorität: Wählen Sie eine höhere Priorität (niedriger Wert) als die aller Regeln aus, die den ausgehenden Traffic zu Ihrer Anwendung verweigern.
    3. Quell-IP-Bereiche: Geben Sie 34.66.18.0/26 und 34.66.114.64/26 ein.
    4. Protokolle und Ports: Wählen Sie Alle zulassen aus oder geben Sie die Protokolle und Ports für Ihre Anwendung an. In der Regel können Sie das Kästchen tcp anklicken und dann 80 und 443 für die Ports eingeben.
  5. Wenn Sie alle Werte festgelegt haben, klicken Sie auf Erstellen.

Schritt 2: Scan konfigurieren

Nachdem Sie Ihre Firewall so konfiguriert haben, dass Web Security Scanner vorhersehbare IP-Adressen zulässt, konfigurieren Sie den Scan für die Verwendung vordefinierter IP-Adressen:

  1. Rufen Sie in der Cloud Console die Seite Web Security Scanner auf.
    Zur Seite "Web Security Scanner"
  2. Klicken Sie auf Auswählen und wählen Sie Ihr Projekt aus.
  3. Erstellen Sie einen neuen Scan oder bearbeiten Sie einen vorhandenen Scan.
  4. Klicken Sie auf das Kästchen Scans von vordefinierten Quell-IPs ausführen.
  5. Speichern Sie den Scan.

Wenn der Scan das nächste Mal ausgeführt wird, scannt er die öffentlichen Compute Engine- und GKE-Anwendungen, die sich hinter der Firewall befinden.

URLs ausschließen

Sie können ein oder mehrere ausgeschlossene URL-Muster angeben, um Testbereiche einer Website während eines benutzerdefinierten Scans zu vermeiden. Web Security Scanner fordert keine Ressourcen an, die mit einem der Ausschlüsse übereinstimmen. In den folgenden Abschnitten wird das Muster beschrieben, das von Web Security Scanner verwendet wird.

Übereinstimmung mit URL-Mustern

Die Übereinstimmung von ausgeschlossenen URLs basiert auf einer Reihe von URLs, die durch Übereinstimmungsmuster definiert werden. Ein Übereinstimmungsmuster ist eine URL mit fünf Segmenten:

  • scheme: z. B. http oder *
  • host: z. B. www.google.com oder *.google.com oder *
  • path: z. B. /*, /foo* oder /foo/bar. *
  • query: zum Beispiel, ?*, ?*foo=bar*
  • fragment: zum Beispiel, #*, #access

Dies ist die grundlegende Syntax:

<exclude-pattern> := <scheme>://<host><path><query><fragment>
<scheme> := '*' | 'http' | 'https'
<host> := '*' | '*.' <any char except '/' and '*'>+
<path> := '/' <any chars except '?' or '#'>
<query> := '?' <any chars except '#'>
<fragment> := '#' <any chars>

Das * in jedem Teil hat die folgende Funktion:

  • scheme: * entspricht entweder HTTP oder HTTPS.
  • host:
    • * entspricht jedem Host.
    • *.hostname entspricht dem angegebenen Host und allen zugehörigen Subdomains.
  • path: * entspricht 0 oder mehr Zeichen.

In einem ausgeschlossenen Muster sind nicht alle Segmente erforderlich.

  • Wenn das Segment scheme nicht angegeben ist, wird standardmäßig *:// verwendet.
  • Das Segment host muss immer angegeben sein.
  • Wenn das Segment path nicht angegeben ist, wird standardmäßig Folgendes verwendet:
    • /*, wenn die Segmente query und fragment nicht angegeben sind. Dieser Wert stimmt mit jedem path oder keiner path überein.
    • / oder ein leerer path, wenn das Segment query oder fragment angegeben ist.
  • Wenn das Segment query nicht angegeben ist, wird standardmäßig Folgendes verwendet:
    • ?*, wenn das Segment fragment nicht angegeben ist. Dieser Wert stimmt mit einem beliebigen query oder keinem query überein.
    • ? oder eine leere query, wenn das fragment angegeben ist.
  • Wenn das Segment fragment nicht angegeben ist, wird standardmäßig #* verwendet, das einem fragment entspricht oder keinem fragment entspricht.

Gültige Musterübereinstimmungen

Die folgende Tabelle enthält Beispiele für gültige Muster.

Muster Verhalten Beispiele für übereinstimmende URLs
http://*/* Entspricht jeder URL, die das HTTP-Schema verwendet.

http://www.google.com/

http://example.org/foo/bar.html

http://*/foo* Entspricht jeder URL, die das HTTP-Schema auf einem beliebigen Host verwendet, wenn der Pfad mit /foo beginnt.

http://example.com/foo/bar.html

http://www.google.com/foo

https://*.google.com/foo*bar Entspricht jeder URL, die das HTTPS-Schema verwendet und sich auf einem google.com-Host wie www.google.com, docs.google.com oder google.com befindet, wenn der Pfad mit /foo beginnt und mit bar endet.

http://www.google.com/foo/baz/bar

http://docs.google.com/foobar

http://example.org/foo/bar.html Entspricht der angegebenen URL. http://example.org/foo/bar.html
http://127.0.0.1/* Entspricht jeder URL, die das HTTP-Schema verwendet und sich auf dem Host 127.0.0.1 befindet.

http://127.0.0.1/

http://127.0.0.1/foo/bar.html

*://mail.google.com/* Entspricht jeder URL, die mit http://mail.google.com oder https://mail.google.com beginnt.

http://mail.google.com/foo/baz/bar

https://mail.google.com/foobar

*://*/foo*?*bar=baz* Stimmt mit jeder URL überein, bei der der Pfad mit /foo beginnt und den Abfrageparameter bar=baz hat. https://www.google.com/foo/example?bar=baz
google.com/app#*open* Entspricht jeder URL mit einem google.com-Host, bei dem der Pfad mit /app beginnt und das Fragment open enthält. https://www.google.com/app/example#open

Ungültige Musterübereinstimmungen

Die folgende Tabelle enthält Beispiele für ungültige Muster:

Muster Grund
http://www.google.com Die URL enthält keinen Pfad.
http://*foo/bar Auf * im Host muss ein . oder / folgen
http://foo.*.bar/baz Wenn * im Host angegeben ist, muss es das erste Zeichen sein.
http:/bar Das Trennzeichen für das URL-Schema hat nicht das richtige Format. Der "/" sollte "//" lauten.
foo://* Das URL-Schema ist ungültig.

Nächste Schritte