Erweiterte Header auf IONOS konfigurieren

Origin-Agent-Cluster, X-DNS-Prefetch-Control und weitere Security Header auf Ihrem IONOS Webhosting — per .htaccess und PHP.

Header prüfen Plattform entdecken
IONOS · Schritt für Schritt
Von Wolf-Agents Security Team · Aktualisiert: 27. März 2026

Erweiterte Header auf IONOS

Erweiterte HTTP-Header umfassen Origin-Agent-Cluster (Prozess-Isolation), X-DNS-Prefetch-Control (Datenschutz) und X-Permitted-Cross-Domain-Policies (Flash/PDF-Schutz). Diese Header vervollständigen die Security-Konfiguration und sind zusammen mit 4 von 166 Punkten im Wolf-Agents Web Security Check vertreten.

Auf IONOS Shared Hosting setzen Sie diese Header per .htaccess mit mod_headers. Für den Fall, dass mod_headers nicht verfügbar ist, ergänzen Sie einen PHP-Fallback mit header()-Aufrufen. Auf einem IONOS vServer konfigurieren Sie die Header alternativ direkt in der Apache- oder Nginx-Konfiguration.

Der Wolf-Agents Web Security Check prüft alle erweiterten Header automatisch und zeigt fehlende oder falsch konfigurierte Header im Scan-Ergebnis an. Laden Sie die .htaccess per FTP in das Verzeichnis /www/htdocs/ hoch und starten Sie anschließend den Scanner, um die Konfiguration zu verifizieren.

Ausführliche Einführung in Erweiterte Header

Erweiterte Header auf IONOS implementieren

Fügen Sie alle drei Header in Ihre .htaccess-Datei ein. Diese Header haben keine Nebenwirkungen und können sofort produktiv gesetzt werden. Die .htaccess liegt bei IONOS im Verzeichnis /www/htdocs/ — laden Sie die Datei per FTP oder über den IONOS Dateimanager hoch.

.htaccess
.htaccessProduktiv
# .htaccess — Erweiterte Security Header
<IfModule mod_headers.c>
    # Origin-Agent-Cluster: Prozess-Isolation
    Header always set Origin-Agent-Cluster "?1"

    # X-DNS-Prefetch-Control: DNS-Prefetching deaktivieren
    Header always set X-DNS-Prefetch-Control "off"

    # X-Permitted-Cross-Domain-Policies: Flash/PDF blockieren
    Header always set X-Permitted-Cross-Domain-Policies "none"
</IfModule>
PHP — Fallback
config.phpAlternative
// PHP — Erweiterte Header als Fallback
<?php
header("Origin-Agent-Cluster: ?1");
header("X-DNS-Prefetch-Control: off");
header("X-Permitted-Cross-Domain-Policies: none");
?>
X-DNS-Prefetch-Control

X-DNS-Prefetch-Control: off verhindert, dass der Browser automatisch DNS-Anfragen für Links auf der Seite auslöst. Das schützt die Privatsphäre, kann aber die gefühlte Ladezeit leicht erhöhen. Für datenschutzsensible Seiten empfohlen.

Verifizierung

Prüfen Sie alle drei Header nach dem Upload. Warten Sie nach dem FTP-Upload einige Sekunden, da IONOS Shared Hosting die .htaccess bei jedem Request neu einliest — ein Server-Neustart ist nicht nötig.

Tipp: Prüfen Sie jeden Header einzeln mit curl: curl -sI https://ihre-domain.de | grep -i origin-agent-cluster. Falls ein Header fehlt, prüfen Sie die .htaccess auf Syntaxfehler und ob mod_headers aktiv ist.
TerminalVerifizierung
# Erweiterte Header prüfen
curl -sI https://ihre-domain.de | grep -iE "origin-agent|dns-prefetch|permitted-cross"

# Erwartete Ausgabe:
# origin-agent-cluster: ?1
# x-dns-prefetch-control: off
# x-permitted-cross-domain-policies: none

Häufige Fehler bei Erweiterten Headern auf IONOS

Erweiterte Header haben wenig Fehlerpotenzial, aber auf IONOS Shared Hosting können Proxy-Server oder fehlende Apache-Module Probleme verursachen. Prüfen Sie jeden Header einzeln mit curl, um sicherzustellen, dass er beim Endnutzer ankommt.

Origin-Agent-Cluster bricht Legacy-APIs

Origin-Agent-Cluster: ?1 aktiviert die Prozess-Isolation. In seltenen Fällen kann das Probleme mit document.domain-basierten Cross-Subdomain-Zugriffen verursachen. Testen Sie, falls Sie Subdomain-übergreifende Scripts nutzen.

Shared Hosting: Nicht alle Header durchgereicht

Manche erweiterte Header werden von IONOS-Proxy-Servern gefiltert oder überschrieben. Prüfen Sie jeden Header einzeln mit curl, um sicherzustellen, dass er beim Client ankommt.

PHP header() nach Output-Start

PHP header() muss vor jeglicher Ausgabe aufgerufen werden. Stellen Sie sicher, dass vor dem header()-Aufruf kein HTML, Whitespace oder BOM in der Datei steht.

.htaccess-Syntaxfehler liefert 500er

Ein Syntaxfehler in der .htaccess führt zu einem 500 Internal Server Error. Testen Sie Änderungen zuerst auf einer Staging-Subdomain. Halten Sie immer eine Backup-Kopie der funktionierenden .htaccess bereit.

Compliance-Relevanz

Erweiterte Header vervollständigen die Härtung der HTTP-Response und erfüllen Best-Practice-Anforderungen gängiger Compliance-Frameworks. In Kombination mit den Basis-Headern bilden sie eine umfassende Security-Konfiguration.

NIS2Art. 21(e) — Sicherheit bei Entwicklung und Wartung von Informationssystemen
OWASPOWASP ASVS — Härtung der HTTP-Response-Header
BSIAPP.3.1 — Webserver-Absicherung mit Security Headern

Zusammenfassung

Erweiterte Security Headers vervollständigen die HTTP-Härtung Ihrer IONOS-Website. Alle drei Header (Origin-Agent-Cluster, X-DNS-Prefetch-Control, X-Permitted-Cross-Domain-Policies) haben feste Werte ohne Varianten und können sofort produktiv gesetzt werden. Die Implementierung per .htaccess dauert wenige Minuten.

Kombinieren Sie diese Header mit den anderen Security Headern aus diesem Ratgeber — insbesondere X-Content-Type-Options, Referrer-Policy und Cross-Origin Headers — um eine möglichst hohe Bewertung im Wolf-Agents Web Security Check zu erreichen.

Auch verfügbar für:

NginxApacheWordPressNext.jsCloudflareExpressCaddyShopifyTYPO3HetznerLaravelDrupalAll-InklShopwareContaoStratoJoomlaPHPSpring Boot

Wie steht Ihre Domain bei Erweiterte Header?

Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 166 Prüfpunkte.

Web Security Check starten Monitoring ab 199 EUR/Mo