Common Gateway Interface
Das Common Gateway Interface (CGI) ist ein Standard für den Datenaustausch zwischen einem Webserver und dritter Software, die Anfragen bearbeitet. CGI ist eine Variante, Webseiten dynamisch bzw. interaktiv zu machen, deren erste Überlegungen auf das Jahr 1993 zurückgehen.
Funktionsweise
Ein Webserver, der CGI unterstützt, stellt der externen Software eine Laufzeitumgebung zur Verfügung, die insbesondere aus Folgendem besteht:
- Umgebungsvariablen
- Umgebungsvariablen (z. B.
SERVER_NAME), die dem Programm helfen, sich über die Anfragen der Webserver-Einstellung und -Situation zu informieren. Die Bezeichnungen sowie das Format der Inhalte sind größtenteils standardisiert. - Ein- und Ausgabekanäle
- Bereitstellung von Standard-Datenströmen. Meist wird verknüpft:
- der stdin-Kanal mit dem evtl. vorhandenen Request-Body (Anfrage)
- der stdout-Kanal mit der Response (Antwort) des Webservers.
Vorteile
Statt nur statische Seiten von einem Webserver zu laden, die dort als fertige Ressource zur Verfügung stehen, ist es mit CGI auch möglich, HTML-Seiten dynamisch zu erzeugen. D. h. diese müssen zur Zeit der Anfrage noch nicht auf dem Server existieren, sondern können vom CGI-Programm erzeugt werden.
Außerdem können CGI-Programme in vielen Programmiersprachen geschrieben sein, da die Anforderungen nicht über o. g. hinausgehen.
Nachteile
Ein Nachteil der CGI-Ausführung ist neben dem Sicherheitsrisiko, sofern kein entsprechender Schutz eingerichtet ist, ihre relativ geringe Geschwindigkeit, da für jeden CGI-Aufruf ein neuer Prozess ausgeführt wird. Zudem unterstützen viele Server nur eine limitierte Anzahl an CGI Anfragen, weshalb eine Vielzahl der Anfragen in Warteschlangen verbleibt oder sogar abgewiesen wird. Alternativen, die auf CGI aufbauen jedoch die wiederkehrende Prozessausführung umgehen können, sind z. B. FastCGI, ASP, PHP & ColdFusion.[1]
Auch gibt es Module, z. B. für den Apache-Webserver, die den Interpreter für verschiedene Scriptsprachen (z. B. mod_perl für Perl, mod_python für Python etc.) direkt in den Webserver-Prozess einbinden. Dieser wird so nur einmal beim Start des Webservers geladen, anstatt bei jeder Anfrage neu.
Eine andere, oft sogar effizientere Möglichkeit ist, die Programme als externe Prozesse laufen zu lassen und ihnen per FastCGI die Requests des Browsers zu übergeben. Hierbei kann, anders als bei der o. g. Einbindung als Apache-Modul, nicht nur der Interpreter der Programmiersprache dauerhaft laufen, auch die Anwendung selbst kann die ganze Zeit geladen sein und so die eingehenden Anfragen noch effizienter bearbeiten.
Sicherheit
Dass Programme, die ein Dritter erstellt hat, auf dem Webserver ausgeführt werden können, ist in höchstem Maße sicherheitsrelevant. Daher muss sichergestellt sein, dass ein über CGI gestartetes Programm nur bestimmte, eingeschränkte Typen von Programmroutinen ausführen darf (z. B. kein Löschen von Dateien des Webservers u. ä.).
Bei dem Apache-Webserver wird die Ausführung von CGI-Programmen mit Hilfe des Modules mod_suexec gegen solche Cracker-Angriffe gesichert, die das Eindringen als Root-User zum Ziel haben. Die Sicherheitsmaßnahmen sind dabei mehrstufig aufgebaut und so streng, dass viele Server-Administratoren dazu übergegangen sind, auch andere serverseitige Sprachen über CGI laufen zu lassen.
Siehe auch
Weitere serverseitige Technologien
- FastCGI
- Simple Common Gateway Interface (SCGI)
- Servlet
- Active Server Pages (ASP)
- ASP.NET
- ColdFusion
- JavaServer Pages (JSP)
- PHP
- Node.js
- Server Side Includes (SSI)
Weblinks
- Glossar:CGI im SELFHTML-Wiki
- RFC 3875: The Common Gateway Interface (CGI) Version 1.1
Einzelnachweise
- Was ist ein CGI? Abgerufen am 16. Februar 2022.