„Common Gateway Interface“ – Versionsunterschied

Dieser Artikel oder nachfolgende Abschnitt ist nicht hinreichend mit Belegen (beispielsweise Einzelnachweisen) ausgestattet. Angaben ohne ausreichenden Beleg könnten demnächst entfernt werden. Bitte hilf Wikipedia, indem du die Angaben recherchierst und gute Belege einfügst.

Das Common Gateway Interface (CGI) ist eine Schnittstelle für den Datenaustausch zwischen einem Webserver (Anwendungsprogramm) und dritter Software, die Anfragen bearbeitet.^[1] CGI ist eine Variante, Webseiten dynamisch bzw. interaktiv zu machen. Entwickelt wurde die Technologie am National Center for Supercomputing Applications (NCSA) und wird seit 1993 im World Wide Web eingesetzt.^[1][2]

Ausgehend von einer HTTP-Anfrage kann durch den Webserver via CGI ein Prozess gestartet werden. Dabei können Informationen als Parameter an den Prozess übergeben werden. Diese können beispielsweise auf Benutzereingaben aus einem Webformular beruhen. Die Ausgaben des Prozesses werden wiederum an den Webserver übergeben, der darauf basierend eine HTTP-Antwort erzeugen kann.^[3][4] Optional können Daten bei laufenden Prozessen auch über die Standard-Datenströme zwischen Prozess und Webserver ausgetauscht werden.^[5]

Zur Nutzung dieser Funktion stellen Webserver entsprechende Subroutinen, Bibliotheken, Skripte oder Programme, sowie einige Umgebungsvariablen, zur Verfügung. Die folgenden neun Umgebungsvariablen müssen dabei verpflichtend vorhanden sein:^[1]

1. GATEWAY_INTERFACE
2. QUERY_STRING
3. REMOTE_ADDR
4. REQUEST_METHOD
5. SCRIPT_NAME
6. SERVER_NAME
7. SERVER_PORT
8. SERVER_PROTOCOL
9. SERVER_SOFTWARE

Statt nur statische Seiten von einem Webserver zu laden, die dort als fertige Ressource zur Verfügung stehen, ist es mit CGI auch möglich, Webinhalte (HTML-Seiten oder -Fragmente, Grafiken, PDF-Dokumente etc.) dynamisch zu erzeugen. D. h. diese müssen zur Zeit der Anfrage noch nicht auf dem Server existieren, sondern können vom CGI-Programm erzeugt werden.

Grundsätzlich können CGI-Programme in einer beliebigen Programmiersprache geschrieben sein, die das Betriebssystem unterstützt, sofern die zuvor genannten Anforderungen erfüllt werden.^[6]

Ein Nachteil der CGI-Ausführung ist neben dem Sicherheitsrisiko, sofern kein entsprechender Schutz eingerichtet ist, ihre relativ geringe Geschwindigkeit, da für jeden CGI-Aufruf ein neuer Prozess gestartet wird. Zudem unterstützen viele Server nur eine limitierte Anzahl an CGI-Anfragen, weshalb viele Anfragen in Warteschlangen bleiben oder sogar abgewiesen werden.

Alternativen, die auf CGI aufbauen, jedoch das Bootstrapping der Prozesse umgehen können, sind z. B. FastCGI, ASP, PHP und ColdFusion.^[4]

Daneben gibt es Module, z. B. für den Apache-Webserver, die den Interpreter für verschiedene Scriptsprachen (z. B. mod_perl für Perl, mod_python für Python etc.) direkt in den Webserver-Prozess einbinden. Dieser wird so nur einmal beim Start des Webservers geladen, anstatt bei jeder Anfrage neu. Die Programme weiterhin als externe Prozesse laufen zu lassen, ihnen die Anfragen jedoch per FastCGI zu übergeben, ist der Lösungsweg, der dem CGI-Prinzip am ehesten treu bleibt. Hierbei kann, anders als bei der o. g. Einbindung als Apache-Modul, nicht nur der Interpreter der Programmiersprache dauerhaft laufen. Auch die Anwendung selbst kann die ganze Zeit geladen bleiben und so die eingehenden Anfragen noch effizienter bearbeiten.

Dass Programme, die ein Dritter erstellt hat, auf dem Webserver ausgeführt werden können, ist in höchstem Maße sicherheitsrelevant. Daher muss sichergestellt sein, dass ein über CGI gestartetes Programm nur bestimmte, eingeschränkte Typen von Programmroutinen ausführen darf (z. B. kein Löschen von Dateien des Webservers u. ä.).

Bei dem Apache-Webserver wird die Ausführung von CGI-Programmen mit Hilfe des Modules mod_suexec gegen solche Cracker-Angriffe gesichert, die das Eindringen als Root-User zum Ziel haben. Die Sicherheitsmaßnahmen sind dabei mehrstufig aufgebaut und so streng, dass viele Server-Administratoren dazu übergegangen sind, auch andere serverseitige Sprachen über CGI laufen zu lassen.

• HTTP-Statuscode
• MIME-Typ

• FastCGI
• Simple Common Gateway Interface (SCGI)
• Servlet
• Active Server Pages (ASP)
• ASP.NET
• ColdFusion
• JavaServer Pages (JSP)
• PHP
• Node.js
• Server Side Includes (SSI)

• Glossar:CGI im SELFHTML-Wiki

1. ↑ ^{a b c} David Robinson, Ken Coar: The Common Gateway Interface (CGI) Version 1.1. RFC 3875. Internet Society, Oktober 2004, abgerufen am 23. Oktober 2022 (englisch). 
2. ↑ Richard MacManus: 1993: CGI Scripts and Early Server-Side Web Programming. In: webdevelopmenthistory.com. 24. März 2021, abgerufen am 9. Juni 2023 (englisch). 
3. ↑ Thomas Walter: Kompendium der Web-Programmierung. 1. Auflage. Springer, Berlin 2008, ISBN 978-3-540-33134-6, CGI: das Common Gateway Interface, S. 113–123, doi:10.1007/978-3-540-33135-3. 
4. ↑ ^{a b} Was ist ein CGI? In: ionos.de. 20. März 2020, abgerufen am 16. Februar 2022. 
5. ↑ Apache Tutorial: Dynamic Content with CGI. Apache HTTP Server Version 2.4. In: httpd.apache.org. Abgerufen am 9. Juni 2023 (englisch). 
6. ↑ Common Gateway Interface. National Center for Supercomputing Applications, archiviert vom Original am 9. April 2009; abgerufen am 24. Oktober 2022 (englisch).