Clear-Site-Data für Vercel konfigurieren

Schritt-für-Schritt-Anleitung: Browser-Daten beim Logout auf Vercel löschen — Cookies, Cache und Storage mit einem Header bereinigen.

Header prüfen Plattform entdecken

Vercel · Schritt für Schritt

Von Wolf-Agents Security Team · Aktualisiert: 29. März 2026

Clear-Site-Data auf Vercel

Clear-Site-Data weist den Browser an, gespeicherte Daten zu löschen — Cookies, Cache, LocalStorage und SessionStorage. Der Header wird typischerweise beim Logout gesendet, um sicherzustellen, dass keine Sitzungsdaten zurückbleiben. Clear-Site-Data ist mit 3 von 166 Punkten im Wolf-Agents Web Security Check bewertet.

Auf Vercel setzen Sie Clear-Site-Data direkt in der Logout-API-Route oder per Edge Middleware für den Logout-Pfad. Der Header darf nur über HTTPS gesendet werden — auf Vercel ist das standardmäßig der Fall. Senden Sie den Header nicht auf jeder Seite, sondern ausschließlich beim Logout.

Hinweis: Clear-Site-Data ist kein Ersatz für eine saubere serverseitige Session-Invalidierung. Der Header ergänzt den Logout-Prozess, indem er clientseitige Reste bereinigt. Kombinieren Sie beides, um sicherzustellen, dass weder auf dem Server noch im Browser Sitzungsdaten uebrig bleiben.

Ausführliche Einführung in Clear-Site-Data

1 Schritt 1 von 3

Clear-Site-Data in Logout-Route

Der beste Ort für Clear-Site-Data ist direkt in der Logout-API-Route. Der folgende Code zeigt eine Next.js API Route unter app/api/logout/route.ts. Der Header wird mit den Direktiven "cache", "cookies" und "storage" gesetzt — das löscht alle relevanten Browser-Daten nach dem Logout. Beachten Sie die doppelten Anführungszeichen um jede Direktive — sie sind Teil der Header-Syntax.

// app/api/logout/route.ts — Clear-Site-Data beim Logout
import { NextResponse } from 'next/server';

export async function POST(request: Request) {
  // Session invalidieren...

  const response = NextResponse.json(
    { success: true },
    { status: 200 }
  );

  // Alle Browser-Daten löschen
  response.headers.set(
    'Clear-Site-Data',
    '"cache", "cookies", "storage"'
  );

  return response;
}

Warum nicht vercel.json?

Clear-Site-Data darf nur auf dem Logout-Endpoint gesetzt werden. In vercel.json können Sie zwar ein Source-Pattern wie /api/logout verwenden, aber die Methode (POST) lässt sich dort nicht filtern. Die API Route bietet volle Kontrolle über Methode und Kontext.

2 Schritt 2 von 3

Alternative: Edge Middleware

Wenn Sie den Logout nicht in einer API Route implementieren, können Sie Clear-Site-Data per Edge Middleware für den Logout-Pfad setzen. Die Middleware läuft auf Vercels Edge Network und prüft den Pfad, bevor sie den Header setzt. Achten Sie darauf, den Header nur auf dem Logout-Endpoint zu senden — niemals auf allen Seiten.

// middleware.ts — Clear-Site-Data per Edge Middleware
import { NextResponse } from 'next/server';
import type { NextRequest } from 'next/server';

export function middleware(request: NextRequest) {
  const response = NextResponse.next();

  // Nur auf Logout-Pfad anwenden
  if (request.nextUrl.pathname === '/api/logout') {
    response.headers.set(
      'Clear-Site-Data',
      '"cache", "cookies", "storage"'
    );
  }

  return response;
}

Senden Sie Clear-Site-Data niemals auf allen Seiten. Der Browser löscht bei jedem Aufruf alle Daten — Nutzer wären permanent ausgeloggt, und der Cache wird ständig geleert. Nur auf dem Logout-Endpoint verwenden.

3 Schritt 3 von 3

Header verifizieren

Testen Sie den Clear-Site-Data-Header, indem Sie den Logout-Endpoint mit curl aufrufen. Prüfen Sie zusätzlich in den Browser DevTools unter Application > Storage, dass Cookies, Cache und Storage nach dem Logout tatsächlich geleert wurden. Der Wolf-Agents Web Security Check prüft, ob Clear-Site-Data auf Logout-Endpoints konfiguriert ist.

# Clear-Site-Data beim Logout prüfen
curl -sI -X POST https://ihre-domain.de/api/logout | grep -i clear-site-data

# Erwartete Ausgabe:
clear-site-data: "cache", "cookies", "storage"

# Wichtig: Alle drei Direktiven müssen in Anführungszeichen stehen.
# Ohne Anführungszeichen ignoriert der Browser den Header.

Häufige Fehler

Header auf allen Seiten gesendet

Clear-Site-Data auf jeder Response löscht permanent alle Daten. Nutzer bleiben nie eingeloggt und die Seite lädt ständig neu. Nur auf dem Logout-Endpoint verwenden.

Anführungszeichen in Direktiven vergessen

Die Direktiven müssen in doppelten Anführungszeichen stehen: "cache", "cookies". Ohne Anführungszeichen ignoriert der Browser den Header komplett — es wird nichts gelöscht.

Safari-Kompatibilität eingeschränkt

Safari unterstützt Clear-Site-Data nur teilweise. Implementieren Sie zusätzlich einen manuellen Cookie-Löschvorgang in Ihrer Logout-Logik als Fallback für Safari- und iOS-Nutzer.

Vercel CDN cached Logout-Response

Wenn die Logout-Route versehentlich mit s-maxage gecached wird, erhält der nächste Nutzer dieselbe Response mit Clear-Site-Data. Setzen Sie Cache-Control: no-store auf dem Logout-Endpoint.

Compliance-Relevanz

Clear-Site-Data stärkt den Datenschutz beim Logout. DSGVO fordert, dass personenbezogene Daten nicht unnötig gespeichert werden — Session-Daten im Browser nach dem Logout sind ein Risiko, besonders auf geteilten Geräten. NIS2 verlangt Maßnahmen zum Schutz vor unbefugtem Zugriff auf Sitzungsdaten. Der Wolf-Agents Web Security Check prüft, ob Clear-Site-Data auf Logout-Endpoints konfiguriert ist und ob die Direktiven korrekt formatiert sind.

Auch verfügbar für:

Nginx Apache WordPress Next.js Cloudflare Express Caddy Shopify TYPO3 Hetzner Laravel Drupal IONOS All-Inkl Shopware Contao Strato Joomla PHP Spring Boot Nuxt LiteSpeed AWS CloudFront

Wie steht Ihre Domain bei Clear-Site-Data?

Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 166 Prüfpunkte.

Web Security Check starten Monitoring ab 199 EUR/Mo