Cross-Origin Headers auf IONOS konfigurieren

CORP, COEP und COOP auf Ihrem IONOS Webhosting konfigurieren — Spectre-Schutz per .htaccess mit Hinweisen zur CDN-Kompatibilität.

Header prüfen Plattform entdecken

IONOS · Schritt für Schritt

Von Wolf-Agents Security Team · Aktualisiert: 27. März 2026

Cross-Origin Headers auf IONOS

Cross-Origin Headers (CORP, COEP, COOP) schützen vor Spectre-Seitenkanal-Angriffen, indem sie die Isolation zwischen Origins im Browser erzwingen. Diese drei Header arbeiten zusammen und sind mit 30 von 166 Punkten einer der gewichtigsten Bereiche im Wolf-Agents Web Security Check.

Auf IONOS Shared Hosting setzen Sie alle drei Header per .htaccess. Wichtig: Cross-Origin Headers können mit dem IONOS CDN und eingebetteten Drittanbieter-Ressourcen (YouTube, Google Maps, Payment-Provider) kollidieren. Testen Sie gründlich, bevor Sie die Header produktiv setzen.

Der Wolf-Agents Web Security Check prüft alle drei Cross-Origin Headers einzeln und bewertet sie zusammen mit 30 von 166 Punkten. Die .htaccess laden Sie per FTP in /www/htdocs/ hoch. Auf einem IONOS vServer können Sie die Header alternativ direkt in der Apache- oder Nginx-Konfiguration setzen.

Ausführliche Einführung in Cross-Origin Headers

Cross-Origin Headers auf IONOS implementieren

Wählen Sie zwischen der strikten Variante (maximale Isolation) und der CDN-kompatiblen Variante (für Websites mit externen Ressourcen wie YouTube, Google Maps oder CDN-Assets). Auf IONOS Shared Hosting konfigurieren Sie alle Header per .htaccess in /www/htdocs/. Auf einem vServer setzen Sie die Header alternativ direkt in der Apache- oder Nginx-Konfiguration.

.htaccess — Strikt

# .htaccess — Cross-Origin Headers (strikt)
<IfModule mod_headers.c>
    Header always set Cross-Origin-Opener-Policy "same-origin"
    Header always set Cross-Origin-Embedder-Policy "require-corp"
    Header always set Cross-Origin-Resource-Policy "same-origin"
</IfModule>

.htaccess — CDN-kompatibel

# .htaccess — Cross-Origin Headers (CDN-kompatibel)
<IfModule mod_headers.c>
    Header always set Cross-Origin-Opener-Policy "same-origin-allow-popups"
    Header always set Cross-Origin-Embedder-Policy "unsafe-none"
    Header always set Cross-Origin-Resource-Policy "cross-origin"
</IfModule>

IONOS CDN-Konflikt

Wenn Sie den IONOS CDN-Dienst nutzen, kann require-corp dazu führen, dass CDN-Ressourcen blockiert werden. Nutzen Sie in diesem Fall die CDN-kompatible Variante.

Verifizierung

Prüfen Sie alle drei Header nach dem Upload der .htaccess. Testen Sie zusätzlich Seiten mit externen Embeds (YouTube, Google Maps), um sicherzustellen, dass diese nicht blockiert werden.

Tipp: Öffnen Sie die Browser-Console (F12) und prüfen Sie auf Cross-Origin-Fehlermeldungen. Blockierte Ressourcen erscheinen als rote Fehlermeldungen mit dem Hinweis auf COEP oder CORP.

# Cross-Origin Headers prüfen
curl -sI https://ihre-domain.de | grep -i cross-origin

# Erwartete Ausgabe:
# cross-origin-opener-policy: same-origin
# cross-origin-embedder-policy: require-corp
# cross-origin-resource-policy: same-origin

Häufige Fehler bei Cross-Origin Headers auf IONOS

Cross-Origin Headers sind die fehleranfälligsten Security Headers — besonders auf Shared Hosting mit externen Ressourcen und CDN-Diensten. Testen Sie jede Änderung gründlich auf einer Staging-Subdomain, bevor Sie die Header produktiv setzen.

YouTube und Google Maps blockiert

require-corp blockiert alle Cross-Origin-Ressourcen ohne CORP-Header. YouTube, Google Maps und Payment-Widgets liefern keinen CORP-Header. Wechseln Sie zur CDN-kompatiblen Variante.

IONOS CDN cached Header nicht durch

Geänderte Cross-Origin Headers können durch den IONOS CDN-Cache verzögert werden. Leeren Sie den Cache im Control Panel und warten Sie einige Minuten.

SharedArrayBuffer nicht verfügbar

SharedArrayBuffer erfordert require-corp und same-origin. Beide Header müssen gleichzeitig gesetzt sein — die CDN-kompatible Variante reicht dafür nicht aus.

mod_headers auf IONOS nicht aktiv

Auf manchen IONOS-Tarifen ist mod_headers nicht verfügbar. Prüfen Sie mit phpinfo(), ob das Modul geladen ist. Als Fallback setzen Sie die Header per PHP: header("Cross-Origin-Opener-Policy: same-origin").

Compliance-Relevanz

Cross-Origin Headers schützen vor prozessübergreifenden Seitenkanal-Angriffen und erzwingen Browser-seitige Isolation zwischen verschiedenen Origins. Mit 30 von 166 Punkten sind sie der gewichtigste Bereich im Wolf-Agents Web Security Check.

NIS2Art. 21(e) — Sicherheit bei Entwicklung und Wartung von Informationssystemen

OWASPOWASP ASVS — Schutz vor Spectre-Seitenkanal-Angriffen

BSIAPP.3.1 — Webserver-Absicherung, Browser-Isolation

Zusammenfassung

Cross-Origin Headers sind der gewichtigste Bereich im Wolf-Agents Web Security Check mit 30 von 166 Punkten. Die strikte Variante bietet maximalen Schutz, kann aber externe Ressourcen blockieren. Starten Sie auf IONOS mit der CDN-kompatiblen Variante und verschärfen Sie schrittweise, nachdem Sie alle eingebetteten Drittanbieter-Ressourcen identifiziert haben.

Auf Shared Hosting konfigurieren Sie die Header per .htaccess in /www/htdocs/. Auf einem vServer haben Sie die Möglichkeit, die Header pfadspezifisch zu setzen — z.B. strikte Werte für die Hauptseite und CDN-kompatible Werte für Media-Verzeichnisse.

Auch verfügbar für:

Nginx Apache WordPress Next.js Cloudflare Express Caddy Shopify TYPO3 Hetzner Laravel Drupal All-Inkl Shopware Contao Strato Joomla PHP Spring Boot

Wie steht Ihre Domain bei Cross-Origin Headers?

Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 166 Prüfpunkte.

Web Security Check starten Monitoring ab 199 EUR/Mo