Erweiterte Header für Vercel konfigurieren

Schritt-für-Schritt-Anleitung: Origin-Agent-Cluster, X-DNS-Prefetch-Control und weitere erweiterte Security Headers auf Vercel einrichten.

Vercel · Schritt für Schritt

Erweiterte Header auf Vercel

Erweiterte Security Headers bieten zusätzliche Schutzschichten, die über die Standard-Header hinausgehen. Dazu gehören Origin-Agent-Cluster für Prozess-Isolation, X-DNS-Prefetch-Control für Privacy und Legacy-Header wie X-Download-Options. Zusammen sind sie mit 4 von 166 Punkten im Wolf-Agents Web Security Check bewertet.

Auf Vercel setzen Sie alle erweiterten Header per vercel.json — sie sind statisch und ändern sich nicht pro Request. Wenn Sie bereits eine Edge Middleware nutzen, können Sie die Header dort zusammen mit anderen Security Headers setzen. Die Konfiguration dauert wenige Minuten und verbessert Ihre Gesamtnote.

Tipp: Erweiterte Header ergänzen die Kernheader CSP, HSTS und Permissions-Policy. Auch wenn ihr individueller Punktwert gering ist, signalisiert eine vollständige Header-Konfiguration Reife im Umgang mit Web Security — sowohl für Auditoren als auch für den Wolf-Agents Web Security Check.

1 Schritt 1 von 3

Erweiterte Header per vercel.json

Der einfachste Weg: Fügen Sie alle erweiterten Header in einem Block in die vercel.json ein. Das Source-Pattern /(.*) wendet die Header auf alle Responses an — statische Seiten, Serverless Functions und ISR-Seiten gleichermassen. Origin-Agent-Cluster: ?1 aktiviert die Prozess-Isolation im Browser und schützt gegen Spectre-Seitenkanalangriffe. X-DNS-Prefetch-Control: off verhindert, dass der Browser DNS-Abfragen für verlinkte Domains vorab ausführt — relevant für den Datenschutz Ihrer Besucher.

vercel.json Produktiv
// vercel.json — Erweiterte Security Headers
{
  "headers": [
    {
      "source": "/(.*)",
      "headers": [
        {
          "key": "Origin-Agent-Cluster",
          "value": "?1"
        },
        {
          "key": "X-DNS-Prefetch-Control",
          "value": "off"
        },
        {
          "key": "X-Download-Options",
          "value": "noopen"
        },
        {
          "key": "X-Permitted-Cross-Domain-Policies",
          "value": "none"
        }
      ]
    }
  ]
}
Vercel Dashboard: GUI-Alternative

Alternativ zur vercel.json können Sie Header im Vercel Dashboard unter Project Settings > Headers konfigurieren. Die vercel.json hat jedoch Vorrang und ist besser versionierbar — bevorzugen Sie die Datei im Repository.

2 Schritt 2 von 3

Alternative: Edge Middleware

Wenn Sie bereits eine middleware.ts für CSP-Nonces oder andere dynamische Header verwenden, setzen Sie die erweiterten Header im gleichen File. Das hält die gesamte Header-Konfiguration an einem Ort und vermeidet Kollisionen zwischen vercel.json und Middleware. Die Edge Middleware läuft auf Vercels globalem Edge Network in V8 Isolates — die Header werden nahe am Nutzer gesetzt, unabhängig von der Deployment-Region.

middleware.ts Edge
// middleware.ts — Erweiterte Header per Edge Middleware
import { NextResponse } from 'next/server';
import type { NextRequest } from 'next/server';

export function middleware(request: NextRequest) {
  const response = NextResponse.next();

  // Origin-Agent-Cluster für Prozess-Isolation
  response.headers.set('Origin-Agent-Cluster', '?1');
  // DNS-Prefetching deaktivieren (Privacy)
  response.headers.set('X-DNS-Prefetch-Control', 'off');
  // IE Download-Schutz
  response.headers.set('X-Download-Options', 'noopen');
  // Flash/PDF Cross-Domain-Policy
  response.headers.set('X-Permitted-Cross-Domain-Policies', 'none');

  return response;
}
Was bewirken diese Header?

Origin-Agent-Cluster isoliert Ihre Seite in einem eigenen Prozess — Schutz gegen Spectre. X-DNS-Prefetch-Control: off verhindert DNS-Leaks zu verlinkten Domains. X-Permitted-Cross-Domain-Policies: none blockiert Flash/PDF Cross-Domain-Zugriffe.

3 Schritt 3 von 3

Header verifizieren

Prüfen Sie alle erweiterten Header nach dem Deployment mit curl. Alle vier Header müssen in der Ausgabe erscheinen. Der Wolf-Agents Web Security Check erkennt und bewertet erweiterte Header automatisch und zeigt den Einfluss auf Ihre Gesamtnote. Beachten Sie, dass Vercels CDN-Cache dazu führen kann, dass Header-Änderungen erst nach einem neuen Deployment sichtbar werden.

Terminal Verifizieren
# Erweiterte Header prüfen
curl -sI https://ihre-domain.de | grep -iE "origin-agent|x-dns-prefetch|x-download|x-permitted"

# Erwartete Ausgabe:
origin-agent-cluster: ?1
x-dns-prefetch-control: off
x-download-options: noopen
x-permitted-cross-domain-policies: none

# Alle vier Header müssen in einer Zeile je erscheinen.
# Falls ein Header fehlt, prüfen Sie ob Edge Middleware
# oder vercel.json den Header überschreibt.

Häufige Fehler

X-DNS-Prefetch-Control bricht Performance

Das Deaktivieren von DNS-Prefetching verlangsamt die Navigation zu externen Links leicht. Wenn Performance wichtiger als Privacy ist, setzen Sie den Wert auf on und verwenden Sie dns-prefetch-Links gezielt.

Legacy-Header bei modernen Browsern wirkungslos

X-Download-Options und X-Permitted-Cross-Domain-Policies sind Legacy-Header für Internet Explorer und Flash. Sie schaden nicht, aber der Sicherheitsgewinn bei modernen Browsern ist minimal.

Edge Middleware überschreibt vercel.json

Bei identischen Header-Keys gewinnt die Edge Middleware. Wenn Sie erweiterte Header an beiden Orten setzen, werden die vercel.json-Werte ignoriert. Entscheiden Sie sich für einen Konfigurationsort.

Preview Deployments mit fehlenden Headern

Vercel Preview Deployments verwenden *.vercel.app-Domains. Prüfen Sie, dass die Header auch auf Preview URLs gesetzt werden — insbesondere wenn Ihr QA-Team dort testet und Header-Vollständigkeit prüft.

Compliance-Relevanz

Erweiterte Header vervollständigen Ihre Security-Header-Konfiguration. NIS2 fordert angemessene technische Maßnahmen — dazu gehört auch Defense-in-Depth mit zusätzlichen Schutzmechanismen. OWASP empfiehlt alle genannten Header als Best Practice. Der Wolf-Agents Web Security Check bewertet die Vollständigkeit Ihrer Header-Konfiguration inklusive erweiterter Header und zeigt fehlende Header in der Detailansicht.

Wie steht Ihre Domain bei Erweiterte Header?

Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 166 Prüfpunkte.