Erweiterte Header auf Strato konfigurieren

Bonus-Security-Header auf Ihrem Strato Webhosting — X-DNS-Prefetch-Control, X-Download-Options, Origin-Agent-Cluster und mehr per .htaccess.

Header prüfen Plattform entdecken
Strato · Schritt für Schritt
Von Wolf-Agents Security Team · Aktualisiert: 28. März 2026

Erweiterte Security-Header auf Strato

Erweiterte Security-Header ergänzen die Basis-Header (CSP, HSTS, X-Frame-Options) um zusätzliche Schutzschichten. Sie decken Nischen-Angriffsvektoren ab und verbessern die Gesamtnote im Wolf-Agents Web Security Check. Die erweiterten Header sind mit insgesamt 6 von 166 Punkten vertreten.

Auf Strato Shared Hosting setzen Sie alle erweiterten Header per .htaccess mit mod_headers. Die Konfiguration ist risikofrei — diese Header haben keine Nebenwirkungen auf die Funktionalität Ihrer Website und können sofort aktiviert werden. Wolf-Agents bewertet alle Header zusammen und zeigt fehlende Konfigurationen in der Detailansicht an.

Wichtig: Erweiterte Header sind Bonus-Punkte — konfigurieren Sie zuerst die Basis-Header (CSP, HSTS, Cookies, X-Frame-Options). Die erweiterten Header ergänzen diese, ersetzen sie aber nicht.

Ausführliche Einführung in erweiterte Header

Erweiterte Header auf Strato implementieren

Laden Sie die .htaccess-Datei per FTP hoch. Diese Header können alle gleichzeitig aktiviert werden — sie haben keine bekannten Nebenwirkungen.

.htaccess — Erweiterte Header
.htaccess Empfohlen 
# .htaccess — Erweiterte Security-Header
<IfModule mod_headers.c>
    # DNS-Prefetch kontrollieren
    Header set X-DNS-Prefetch-Control "off"

    # Download-Schutz (IE/Edge Legacy)
    Header set X-Download-Options "noopen"

    # Origin-Agent-Cluster fuer Prozess-Isolation
    Header set Origin-Agent-Cluster "?1"

    # X-Permitted-Cross-Domain-Policies (Flash/PDF)
    Header set X-Permitted-Cross-Domain-Policies "none"
</IfModule>
PHP Fallback
index.php Dynamisch 
// PHP — Erweiterte Security-Header
<?php
header("X-DNS-Prefetch-Control: off");
header("X-Download-Options: noopen");
header("Origin-Agent-Cluster: ?1");
header("X-Permitted-Cross-Domain-Policies: none");
?>
.htaccess — Komplett
.htaccess Alle Header 
# .htaccess — Komplette Security-Header-Sammlung fuer Strato
<IfModule mod_headers.c>
    # Basis-Header (Pflicht)
    Header always set X-Content-Type-Options "nosniff"
    Header always set X-Frame-Options "DENY"
    Header set Referrer-Policy "strict-origin-when-cross-origin"
    Header set Permissions-Policy "camera=(), microphone=(), geolocation=()"

    # Erweiterte Header (Bonus)
    Header set X-DNS-Prefetch-Control "off"
    Header set X-Download-Options "noopen"
    Header set Origin-Agent-Cluster "?1"
    Header set X-Permitted-Cross-Domain-Policies "none"
</IfModule>
Risikofrei aktivierbar

Alle erweiterten Header sind safe defaults — sie verursachen keine Nebenwirkungen bei normalen Websites. X-DNS-Prefetch-Control: off kann DNS-Prefetching deaktivieren, was die Ladezeit minimal beeinflusst, dafür aber DNS-Leaks verhindert.

Verifizierung

Prüfen Sie alle erweiterten Header per curl. Bei Strato kann es einige Minuten dauern, bis die .htaccess wirksam wird. Prüfen Sie alle vier Header in einem Befehl.

Terminal Verifizierung 
# Alle Security-Header auf einmal pruefen
curl -sI https://ihre-domain.de | grep -iE "(x-dns|x-download|origin-agent|x-permitted)"

# Erwartete Ausgabe:
# x-dns-prefetch-control: off
# x-download-options: noopen
# origin-agent-cluster: ?1
# x-permitted-cross-domain-policies: none
Der Wolf-Agents Web Security Check prüft alle Security-Header automatisch — inklusive der erweiterten Header — und zeigt die Gesamtpunktzahl auf 166 Punkte.

Häufige Fehler bei erweiterten Headern auf Strato

Header werden von WordPress-Plugins überschrieben

Security-Plugins auf Strato WordPress Hosting können eigene Header setzen, die die .htaccess-Konfiguration überschreiben. Prüfen Sie mit curl -sI, ob Ihre Header korrekt gesetzt werden, und deaktivieren Sie doppelte Header-Konfigurationen in Plugins.

X-DNS-Prefetch-Control beeinflusst Ladezeit

X-DNS-Prefetch-Control: off deaktiviert DNS-Prefetching — der Browser löst DNS-Anfragen erst beim tatsächlichen Request auf. Das erhöht die Privatsphäre, kann aber die Ladezeit für externe Ressourcen minimal verschlechtern.

.htaccess bei Strato ignoriert — mod_headers fehlt

Wenn die Header nicht gesetzt werden, prüfen Sie ob mod_headers auf Ihrem Strato-Tarif verfügbar ist. Die <IfModule>-Blöcke stellen sicher, dass keine Fehler auftreten, wenn das Modul nicht geladen ist.

Erweiterte Header ohne Basis-Header gesetzt

Die erweiterten Header bringen wenig, wenn die Basis-Header (CSP, HSTS, X-Frame-Options, Cookies) fehlen. Konfigurieren Sie zuerst die Pflicht-Header — diese machen den größten Unterschied im Wolf-Agents Scoring.

Compliance-Relevanz

Erweiterte Security-Header demonstrieren eine umfassende Absicherung Ihrer Webanwendung und unterstützen die Defense-in-Depth-Strategie. In Audits zeigen sie ein durchdachtes Sicherheitskonzept.

NIS2Art. 21(e) — Sicherheit bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen
BSIAPP.3.1 — Webserver-Absicherung mit Security Headern, Defense-in-Depth
OWASPOWASP Secure Headers Project — Vollständige Header-Konfiguration als Best Practice

Auch verfügbar für:

NginxApacheWordPressNext.jsCloudflareExpressCaddyShopifyTYPO3HetznerLaravelDrupalIONOSAll-InklShopwareContaoJoomlaPHPSpring Boot

Wie steht Ihre Domain bei Erweiterte Header?

Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 166 Prüfpunkte.

Web Security Check starten Monitoring ab 199 EUR/Mo