CSP auf All-Inkl konfigurieren

Content Security Policy auf Ihrem All-Inkl Webhosting einrichten — per .htaccess mit mod_headers und PHP-Alternative. Von Report-Only über Violation-Analyse bis Enforcement.

CSP prüfen Plattform entdecken
All-Inkl · Schritt für Schritt
Von Wolf-Agents Security Team · Aktualisiert: 27. März 2026

Content Security Policy auf All-Inkl

Content Security Policy (CSP) ist der wichtigste HTTP-Security-Header gegen Cross-Site Scripting (XSS). Er teilt dem Browser mit, welche Ressourcen geladen werden dürfen — und blockiert alles andere. CSP ist mit 35 von 166 Punkten der einflussreichste Header im Wolf-Agents Web Security Check.

Auf All-Inkl Shared Hosting ist mod_headers auf allen Tarifen aktiv. Sie setzen CSP direkt in der .htaccess-Datei unter /www/htdocs/[username]/[domain]/. Für dynamische Seiten mit CMS wie WordPress oder eigenem PHP-Code steht PHP header() als Alternative bereit. Beide Methoden funktionieren auf allen All-Inkl-Tarifen — vom Privat bis zum Business-Tarif.

Ausführliche Einführung in CSP

CSP auf All-Inkl implementieren

Beginnen Sie immer im Report-Only-Modus. Der Browser meldet CSP-Verstöße in der Konsole, blockiert aber keine Ressourcen. Erstellen oder bearbeiten Sie die .htaccess-Datei im Hauptverzeichnis Ihrer Domain.

.htaccess (empfohlen)
/www/htdocs/[username]/[domain]/.htaccess Report-Only 
# /www/htdocs/[username]/[domain]/.htaccess — Report-Only
<IfModule mod_headers.c>
    Header set Content-Security-Policy-Report-Only "default-src 'self'; script-src 'self'; style-src 'self' 'unsafe-inline'; img-src 'self' data: https:; font-src 'self'; object-src 'none'; base-uri 'self'; form-action 'self'; frame-ancestors 'none'"
</IfModule>
.htaccess (Enforcement)
/www/htdocs/[username]/[domain]/.htaccess Produktiv 
# /www/htdocs/[username]/[domain]/.htaccess — Enforcement
<IfModule mod_headers.c>
    Header set Content-Security-Policy "default-src 'self'; script-src 'self'; style-src 'self' 'unsafe-inline'; img-src 'self' data: https:; font-src 'self'; object-src 'none'; base-uri 'self'; form-action 'self'; frame-ancestors 'none'"
</IfModule>
PHP (Alternative)
index.php / header.php PHP 
// PHP-Alternative für dynamische Seiten
// Muss VOR jeglicher Ausgabe aufgerufen werden
<?php
header("Content-Security-Policy: default-src 'self'; script-src 'self'; style-src 'self' 'unsafe-inline'; img-src 'self' data: https:; font-src 'self'; object-src 'none'; base-uri 'self'; form-action 'self'; frame-ancestors 'none'");
?>
Violations analysieren

Öffnen Sie die Browser DevTools (F12) und die Console. Lassen Sie die Policy mindestens 1 Woche im Report-Only-Modus laufen. Testen Sie alle Seitentypen — Startseite, Kontaktformulare, Blog und Login-Bereiche. Fügen Sie fehlende Quellen (Google Analytics, Fonts, YouTube) zur Policy hinzu.

Verifizierung

Laden Sie die .htaccess-Datei per FTP in das Hauptverzeichnis Ihrer Domain hoch. Prüfen Sie den CSP-Header anschließend per curl oder mit dem Wolf-Agents Web Security Check.

Terminal Verifizierung 
# CSP-Header prüfen
curl -sI https://ihre-domain.de | grep -i content-security-policy

# Erwartete Ausgabe:
# content-security-policy: default-src 'self'; script-src 'self'; ...
Testen Sie in einem Inkognito-Fenster, um sicherzustellen, dass Browser-Cache keine alten Header anzeigt. Der Wolf-Agents Scanner zeigt Ihnen die CSP-Bewertung mit bis zu 35 Punkten.

Häufige Fehler bei CSP auf All-Inkl

.htaccess nicht im richtigen Verzeichnis

Die .htaccess muss im Hauptverzeichnis der Domain liegen: /www/htdocs/[username]/[domain]/. Eine Datei im übergeordneten Verzeichnis hat keine Wirkung auf die Website. Prüfen Sie den Pfad im KAS-Dateimanager.

CSP-Zeile zu lang — Zeilenumbruch in .htaccess

Eine vollständige CSP mit Payment-Providern, Analytics und Fonts wird schnell sehr lang. Apache mod_headers erlaubt keine Zeilenumbrüche innerhalb des Header-Werts. Lösung auf All-Inkl: Verwenden Sie die PHP-header()-Methode für komplexe CSPs oder verketten Sie den String in der .htaccess mit Header set in einer einzigen Zeile.

.htaccess Syntaxfehler — 500 Internal Server Error

Ein Tippfehler in der .htaccess führt zum 500-Fehler. Benennen Sie die Datei per FTP in .htaccess.bak um, um die Website wiederherzustellen. Häufige Ursachen: Fehlende Anführungszeichen um den Policy-String oder nicht geschlossene <IfModule>-Blöcke.

Subdomain hat eigenes Verzeichnis

Subdomains bei All-Inkl haben eigene Verzeichnisse unter /www/htdocs/[username]/. Eine .htaccess der Hauptdomain wirkt nicht auf Subdomains. Erstellen Sie für jede Subdomain eine separate .htaccess mit der passenden CSP.

Compliance-Relevanz

Eine korrekte Content Security Policy erfüllt zentrale Anforderungen mehrerer Compliance-Frameworks. Auch auf Shared Hosting wie All-Inkl liegt die Verantwortung für die Header-Konfiguration beim Website-Betreiber.

PCI DSS 4.0Anforderung 6.4.3 — Kontrolle aller auf Zahlungsseiten geladenen Scripts (seit März 2025 verpflichtend)
NIS2Art. 21(e) — Sicherheit bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen
BSIAPP.3.1 — Webserver-Absicherung mit Security Headern

Auch verfügbar für:

NginxApacheWordPressNext.jsCloudflareExpressCaddyShopifyTYPO3HetznerLaravelDrupalIONOSShopwareContaoStratoJoomlaPHPSpring Boot

Wie steht Ihre Domain bei Content Security Policy?

Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 166 Prüfpunkte.

Web Security Check starten Monitoring ab 199 EUR/Mo