Erweiterte Header für Bunny CDN konfigurieren
Origin-Agent-Cluster, X-DNS-Prefetch-Control, X-Download-Options und weitere Header per Edge Rules auf CDN-Ebene setzen.
Erweiterte Header auf Bunny CDN
Neben den großen Security Headern wie CSP und HSTS gibt es eine Reihe erweiterter Header, die zusätzliche Schutzschichten bieten. Dazu gehören Origin-Agent-Cluster (Prozess-Isolation), X-DNS-Prefetch-Control (DNS-Prefetch deaktivieren), X-Download-Options (IE-Download-Schutz) und X-Permitted-Cross-Domain-Policies (Flash/PDF-Cross-Domain-Schutz). Zusammen sind sie 4 von 166 Punkten im Wolf-Agents Web Security Check wert.
Auf Bunny CDN benötigt jeder Header eine eigene Edge Rule. Bei 4 erweiterten Headern sind das 4 zusätzliche Edge Rules — zusammen mit den Basis-Headern kommen Sie auf etwa 15 von maximal 50 Edge Rules pro Pull Zone. Wolf-Agents empfiehlt, alle erweiterten Header als Batch per API zu erstellen, da sie keine Konfigurationsoptionen haben und universell anwendbar sind.
Erweiterte Header per Edge Rules
Legen Sie für jeden erweiterten Header eine separate Edge Rule an. Alle verwenden Match All als Condition und haben feste Werte ohne Konfigurationsoptionen. Diese Header verursachen keine Kompatibilitätsprobleme und können bedenkenlos auf allen Pull Zones aktiviert werden.
# Bunny Dashboard → Pull Zone → Edge Rules
# --- Edge Rule 1: Origin-Agent-Cluster ---
Condition: Match All
Action: Set Response Header
Header Name: Origin-Agent-Cluster
Header Value: ?1
# --- Edge Rule 2: X-DNS-Prefetch-Control ---
Header Name: X-DNS-Prefetch-Control
Header Value: off
# --- Edge Rule 3: X-Download-Options ---
Header Name: X-Download-Options
Header Value: noopen
# --- Edge Rule 4: X-Permitted-Cross-Domain-Policies ---
Header Name: X-Permitted-Cross-Domain-Policies
Header Value: nonePro Pull Zone sind maximal 50 Edge Rules möglich. Security Headers benötigen etwa 15 Regeln. Erweiterte Header (4 Regeln) sind der letzte Baustein. Die verbleibenden 35 Slots stehen für Redirects, Caching-Regeln, Geo-Blocking und andere Anpassungen zur Verfügung.
Header per Bunny API automatisieren
Erstellen Sie alle erweiterten Header als Batch per API. Da die Header feste Werte haben, können Sie ein Script schreiben, das alle Edge Rules auf einmal erstellt. Das ist besonders nützlich bei mehreren Pull Zones — Sie können das Script für jede Zone ausführen.
# Bunny API — Origin-Agent-Cluster Edge Rule
curl -X POST https://api.bunny.net/pullzone/{pullZoneId}/edgerules \
-H "AccessKey: YOUR_API_KEY" \
-H "Content-Type: application/json" \
-d '{
"ActionType": 15,
"ActionParameter1": "Origin-Agent-Cluster",
"ActionParameter2": "?1",
"Triggers": [{"Type": 0, "PatternMatchingType": 0, "PatternMatches": ["*"]}],
"TriggerMatchingType": 0,
"Description": "Origin-Agent-Cluster Header",
"Enabled": true
}'
# X-DNS-Prefetch-Control Edge Rule
curl -X POST https://api.bunny.net/pullzone/{pullZoneId}/edgerules \
-H "AccessKey: YOUR_API_KEY" \
-H "Content-Type: application/json" \
-d '{
"ActionType": 15,
"ActionParameter1": "X-DNS-Prefetch-Control",
"ActionParameter2": "off",
"Triggers": [{"Type": 0, "PatternMatchingType": 0, "PatternMatches": ["*"]}],
"TriggerMatchingType": 0,
"Description": "X-DNS-Prefetch-Control Header",
"Enabled": true
}'
# X-Download-Options und X-Permitted-Cross-Domain-Policies
# → Analog als separate Edge Rules erstellenX-DNS-Prefetch-Control: off deaktiviert DNS-Prefetching im Browser. Das verbessert den Datenschutz (keine spekulativen DNS-Anfragen an Drittanbieter-Domains), kann aber die gefühlte Ladezeit leicht erhöhen. Für die meisten Websites ist der Datenschutzgewinn wichtiger. Header und Edge Rule Budget verifizieren
Prüfen Sie alle erweiterten Header per curl. Verifizieren Sie auch die Gesamtzahl der Edge Rules, um sicherzustellen, dass genügend Slots für andere Regeln übrig bleiben. Bunny CDN zeigt die Edge Rule Anzahl im Dashboard und per API.
# Alle erweiterten Header prüfen
curl -sI https://ihre-domain.b-cdn.net | grep -iE "origin-agent|dns-prefetch|download-options|permitted-cross"
# Erwartete Ausgabe:
origin-agent-cluster: ?1
x-dns-prefetch-control: off
x-download-options: noopen
x-permitted-cross-domain-policies: none
# Edge Rules Anzahl prüfen (max. 50 pro Pull Zone)
curl -s https://api.bunny.net/pullzone/{pullZoneId} \
-H "AccessKey: YOUR_API_KEY" | jq '.EdgeRules | length'Häufige Fehler
Edge Rule Limit erreicht
Mit 50 Edge Rules pro Pull Zone ist das Limit endlich. Wenn Sie neben Security Headern auch viele Redirect-Regeln, Geo-Blocking oder Custom Caching nutzen, kann das Limit knapp werden. Konsolidieren Sie Regeln, wo möglich, oder verwenden Sie den Origin-Server für selten geänderte Header.
Doppelte Header durch Origin + Edge Rule
Wenn Ihr Origin bereits erweiterte Header setzt und Sie dieselben per Edge Rule konfigurieren, kann es zu doppelten Headern kommen. Bunny Edge Rules überschreiben den Origin-Header — aber prüfen Sie die Response auf doppelte Einträge.
Origin-Agent-Cluster bricht document.domain
Origin-Agent-Cluster: ?1 verhindert die Verwendung von document.domain für Cross-Origin-Kommunikation. Legacy-Anwendungen, die document.domain setzen, funktionieren nicht mehr. Prüfen Sie Ihren Code vor der Aktivierung.
Compliance-Relevanz
Erweiterte Header sind ein Zeichen für Defense-in-Depth — mehrere unabhängige Schutzschichten, die zusammen die Angriffsfläche minimieren. BSI IT-Grundschutz empfiehlt die Härtung von HTTP-Response-Headern. NIS2 fordert technische Maßnahmen auf dem Stand der Technik. OWASP listet alle erweiterten Header in den Security Headers Best Practices. Der Wolf-Agents Web Security Check bewertet erweiterte Header mit bis zu 4 Punkten und prüft die Konfiguration jedes einzelnen Headers separat.
Wie steht Ihre Domain bei Erweiterte Header?
Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 166 Prüfpunkte.