Erweiterte Header für LiteSpeed konfigurieren
Schritt-für-Schritt-Anleitung: Origin-Agent-Cluster, X-DNS-Prefetch-Control, HTTPS-Redirects und weitere Header auf LiteSpeed setzen.
Erweiterte Security Headers auf LiteSpeed
Erweiterte Security Headers ergänzen die Kern-Header (CSP, HSTS, X-Frame-Options) um zusätzliche Schutzschichten. Origin-Agent-Cluster isoliert den Browsing-Context, X-DNS-Prefetch-Control verhindert Information-Leakage durch DNS-Prefetch und X-Permitted-Cross-Domain-Policies sperrt Flash/PDF-Zugriffe. Gemeinsam härten sie Ihre Webanwendung gegen weniger bekannte, aber reale Angriffsvektoren.
Auf LiteSpeed setzen Sie diese Header per .htaccess (Apache-kompatibel) oder in der vhconf.conf. LiteSpeed bietet zusätzlich einen nativen HTTPS-Redirect über die Web Admin Console (Port 7080), der schneller ist als ein RewriteRule-basierter Redirect. Der Wolf-Agents Web Security Check bewertet erweiterte Header mit bis zu 4 Punkten.
Erweiterte Header per .htaccess
Alle erweiterten Header in einem Block. Die Apache-kompatible Syntax funktioniert auf LiteSpeed ohne Anpassungen. Beachten Sie, dass LiteSpeed .htaccess cached — ein Graceful Restart ist nach Änderungen nötig. Das always-Keyword sorgt dafür, dass die Header auch bei Fehlerseiten (404, 500) gesendet werden.
# .htaccess — Erweiterte Security Headers auf LiteSpeed
<IfModule mod_headers.c>
# Origin-Agent-Cluster: Browsing-Context isolieren
Header always set Origin-Agent-Cluster "?1"
# X-DNS-Prefetch-Control: DNS-Prefetch kontrollieren
Header always set X-DNS-Prefetch-Control "off"
# X-Download-Options: IE Download-Öffnen verhindern
Header always set X-Download-Options "noopen"
# X-Permitted-Cross-Domain-Policies: Flash/PDF-Zugriff sperren
Header always set X-Permitted-Cross-Domain-Policies "none"
</IfModule>Virtual-Host-Konfiguration
Auf eigenen Servern setzen Sie die Header in der vhconf.conf unter /usr/local/lsws/conf/vhosts/[name]/vhconf.conf. Die Web Admin Console bietet das gleiche unter Server Config > Virtual Hosts > [vhost] > General > Header Operations. Header in der vhconf.conf haben Vorrang über .htaccess und sind nicht durch Nutzer überschreibbar.
# /usr/local/lsws/conf/vhosts/example/vhconf.conf
# Web Admin Console > Virtual Hosts > [vhost] > Context
context / {
type NULL
location $DOC_ROOT/
extraHeaders {
Header always set Origin-Agent-Cluster "?1"
Header always set X-DNS-Prefetch-Control "off"
Header always set X-Download-Options "noopen"
Header always set X-Permitted-Cross-Domain-Policies "none"
}
}HTTPS-Redirect auf LiteSpeed
LiteSpeed bietet neben dem RewriteRule-basierten Redirect auch einen nativen Redirect über die Web Admin Console unter Listeners > [HTTP] > Secure. Der native Redirect ist performanter, da kein Regex-Matching stattfindet. Auf Shared Hosting ohne Zugriff auf die Web Admin Console verwenden Sie die .htaccess-Methode.
# .htaccess — HTTPS-Redirect (LiteSpeed-optimiert)
<IfModule mod_rewrite.c>
RewriteEngine On
# Standard HTTPS-Redirect
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
</IfModule>
# Alternative: LiteSpeed-nativer Redirect (schneller)
# Web Admin Console > Listeners > [HTTP] > Secure = Yes
# Dies aktiviert den serverseitigen Redirect ohne RewriteRuleOpenLiteSpeed verwendet /usr/local/lsws/conf/httpd_config.conf als zentrale Konfiguration. LiteSpeed Enterprise bietet zusätzlich cPanel- und Plesk-Integration mit eigener Header-Verwaltung. Die .htaccess-Syntax ist in beiden Versionen identisch.
Konfiguration testen und verifizieren
Prüfen Sie alle erweiterten Header nach dem Graceful Restart mit einem einzigen curl-Befehl. Testen Sie auch Fehlerseiten (404), um sicherzustellen, dass das always-Keyword korrekt wirkt. Der Wolf-Agents Web Security Check verifiziert alle 166 Prüfpunkte automatisch — inklusive der erweiterten Header.
# 1. Graceful Restart (LiteSpeed cached .htaccess!)
/usr/local/lsws/bin/lswsctrl restart
# 2. Alle erweiterten Header prüfen
curl -sI https://ihre-domain.de | grep -iE "origin-agent|x-dns-prefetch|x-download|x-permitted"
# Erwartete Ausgabe:
# Origin-Agent-Cluster: ?1
# X-DNS-Prefetch-Control: off
# X-Download-Options: noopen
# X-Permitted-Cross-Domain-Policies: none
# 3. Auch Fehlerseiten testen (always-Keyword)
curl -sI https://ihre-domain.de/nicht-vorhanden | grep -iE "origin-agent|x-dns"
# Header müssen auch bei 404 erscheinenHäufige Fehler bei erweiterten Headern auf LiteSpeed
Diese LiteSpeed-spezifischen Fehler treten bei der Konfiguration erweiterter Header am häufigsten auf und verhindern die korrekte Auslieferung.
.htaccess cached — Header fehlen
LiteSpeed cached .htaccess. Ohne Graceful Restart werden neue Header nicht ausgeliefert. Lösung: /usr/local/lsws/bin/lswsctrl restart
Web Admin Console hat Vorrang
Header der Web Admin Console überschreiben .htaccess-Werte. Prüfen Sie Virtual Hosts > Context > Header Operations auf Konflikte mit Ihren .htaccess-Direktiven.
Origin-Agent-Cluster bricht Cross-Subdomain-Features
Origin-Agent-Cluster: ?1 verhindert den Zugriff zwischen Subdomains über document.domain. Wenn Sie Cross-Subdomain-Kommunikation benötigen (z.B. SSO), setzen Sie den Header nicht.
HTTPS-Redirect-Schleife mit Reverse Proxy
Wenn ein Reverse Proxy (z.B. Cloudflare) HTTPS terminiert, erkennt LiteSpeed die Verbindung als HTTP. Prüfen Sie X-Forwarded-Proto statt %{HTTPS} in der RewriteCond.
Plesk LiteSpeed-Plugin überschreibt manuelle Config
Das Plesk LiteSpeed-Plugin verwaltet Header eigenständig. Manuelle vhconf.conf-Änderungen werden beim nächsten Plesk-Update überschrieben. Nutzen Sie .htaccess oder das Plugin-Interface.
LSCache liefert Seiten ohne Header aus
Wenn LSCache Seiten gecached hat, bevor die Header gesetzt wurden, fehlen diese in gecachten Responses. Leeren Sie den LSCache nach jeder Header-Änderung.
Compliance-Relevanz
NIS2 (Art. 21) fordert technische Maßnahmen zur Risikominimierung — erweiterte Header reduzieren die Angriffsfläche durch Defense-in-Depth. BSI IT-Grundschutz (APP.3.1) empfiehlt mehrere Schutzschichten für Webanwendungen. OWASP listet die hier konfigurierten Header als empfohlene Härtungsmaßnahmen. PCI DSS 4.0 (Anforderung 6.2.4) verlangt den Schutz gegen bekannte Angriffstechniken. Der Wolf-Agents Web Security Check bewertet erweiterte Header mit bis zu 4 Punkten.
Wie steht Ihre Domain bei Erweiterte Header?
Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 166 Prüfpunkte.
Häufig gestellte Fragen
Was bewirkt Origin-Agent-Cluster auf LiteSpeed?
Origin-Agent-Cluster isoliert den Browsing-Context pro Origin. Das verhindert, dass Subdomains über document.domain aufeinander zugreifen können. Empfohlen für alle Websites, die keine Cross-Subdomain-Kommunikation benötigen.
Soll ich X-DNS-Prefetch-Control auf off setzen?
Für sensible Seiten (Login, Admin) ja — DNS-Prefetch kann Informationen über besuchte Links preisgeben. Für öffentliche Seiten ist on akzeptabel, da es die Performance verbessert.
Funktionieren alle erweiterten Header mit LSCache?
Ja. Erweiterte Header sind statisch und werden mit gecachten Responses korrekt ausgeliefert. Nach Änderungen müssen Sie den LSCache leeren und einen Graceful Restart durchführen.
Gibt es einen Unterschied zwischen OpenLiteSpeed und LiteSpeed Enterprise?
Die .htaccess-Syntax ist identisch. OpenLiteSpeed verwendet /usr/local/lsws/conf/httpd_config.conf als zentrale Konfiguration, während LiteSpeed Enterprise cPanel/Plesk-Integration bietet. Die Web Admin Console (Port 7080) ist in beiden Versionen verfügbar.