Erweiterte Header für Laravel konfigurieren

Schritt-für-Schritt-Anleitung: Erweiterte Header in Laravel einrichten — mit Middleware-Code zum Kopieren und Best Practices.

Header prüfen Plattform entdecken
Laravel · Schritt für Schritt
Von Wolf-Agents Security Team · Aktualisiert: 27. März 2026

Erweiterte Header in Laravel

Erweiterte Header umfassen Origin-Agent-Cluster, HTTPS-Redirects, WWW-Normalisierung, Fetch Metadata Protection und X-DNS-Prefetch-Control. Zusammen tragen sie 4 von 166 Punkten zum Web Security Check bei.

In Laravel implementieren Sie diese Header über Middleware und AppServiceProvider. Besonders wertvoll: die Resource Isolation Policy mit Fetch Metadata, die CSRF- und Cross-Origin-Angriffe auf API-Endpoints abwehrt.

Ausführliche Einführung zu Erweiterte Header

1 Schritt 1 von 3

Erweiterte Header in der Middleware konfigurieren

Fügen Sie den Header in Ihrer SecurityHeaders-Middleware hinzu. Der Header wird bei jedem Response automatisch gesetzt.

app/Http/Middleware/SecurityHeaders.php Produktiv 
// app/Http/Middleware/SecurityHeaders.php
// Origin-Agent-Cluster — Prozess-Isolation
$response->headers->set('Origin-Agent-Cluster', '?1');
$response->headers->set('X-Permitted-Cross-Domain-Policies', 'none');

// HTTPS erzwingen (app/Providers/AppServiceProvider.php)
if ($this->app->environment('production')) {
    URL::forceScheme('https');
}

// WWW-Redirect Middleware
if (str_starts_with($request->getHost(), 'www.')) {
    $nonWwwHost = substr($request->getHost(), 4);
    return redirect()->to(
        'https://' . $nonWwwHost . $request->getRequestUri(), 301
    );
}

// DNS-Prefetch-Control für sensible Bereiche
if ($request->is('account/*', 'dashboard/*')) {
    $response->headers->set('X-DNS-Prefetch-Control', 'off');
}
2 Schritt 2 von 3

Konfiguration verifizieren

Prüfen Sie die Header mit curl -sI https://ihre-domain.de | grep -iE "origin-agent|x-permitted|dns-prefetch".

Nutzen Sie den Wolf-Agents Web Security Check für eine vollständige Prüfung aller 4 Punkte dieses Headers.
3 Schritt 3 von 3

Häufige Fehler

TrustProxies nicht konfiguriert

Wenn Laravel hinter einem Reverse Proxy steht, erkennt $request->isSecure() HTTPS nicht korrekt. Konfigurieren Sie TrustProxies für korrekte Schema-Erkennung.

WWW-Redirect-Loop

Wenn der Reverse Proxy bereits WWW-Redirects macht, entsteht eine Endlosschleife. Implementieren Sie den Redirect entweder in Laravel oder im Reverse Proxy — nicht in beiden.

Compliance-Relevanz

OWASP ASVS — V14.5.3 empfiehlt Origin-Agent-Cluster und X-Permitted-Cross-Domain-Policies als Defense-in-Depth-Maßnahmen.
NIS2 — Fetch Metadata Protection (Sec-Fetch-*) schützt API-Endpoints vor CSRF und Cross-Origin-Angriffen — eine technische Maßnahme nach Artikel 21.

Auch verfügbar für:

NginxApacheWordPressNext.jsCloudflareExpressCaddyShopifyTYPO3Hetzner

Wie steht Ihre Domain bei Erweiterte Header?

Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 166 Prüfpunkte.

Web Security Check starten Monitoring ab 199 EUR/Mo