CSP auf IONOS konfigurieren

Content Security Policy auf Ihrem IONOS Webhosting einrichten — per .htaccess für Shared Hosting, PHP header() als Fallback und vServer-Konfiguration. Von Report-Only bis Enforcement.

CSP prüfen Plattform entdecken
IONOS · Schritt für Schritt
Von Wolf-Agents Security Team · Aktualisiert: 27. März 2026

Content Security Policy auf IONOS

Content Security Policy (CSP) ist der wichtigste HTTP-Security-Header gegen Cross-Site Scripting (XSS). Er teilt dem Browser mit, welche Ressourcen geladen werden dürfen — und blockiert alles andere. CSP ist mit 35 von 166 Punkten der einflussreichste Header im Wolf-Agents Web Security Check.

Auf IONOS Shared Hosting konfigurieren Sie CSP über die .htaccess-Datei mit mod_headers. Für dynamische PHP-Seiten ergänzen Sie den Header per header()-Aufruf. Auf dem IONOS WordPress Hosting funktioniert dieselbe .htaccess-Methode. Auf einem IONOS vServer haben Sie vollen Root-Zugriff und konfigurieren CSP direkt in nginx.conf oder apache2.conf.

Wichtig: IONOS terminiert SSL auf der eigenen Infrastruktur, aber Security Headers wie CSP müssen auf Ihrem Webspace gesetzt werden — IONOS fügt keine eigenen CSP-Header hinzu.

Ausführliche Einführung in CSP

CSP auf IONOS implementieren

Beginnen Sie immer im Report-Only-Modus. Der Browser meldet CSP-Verstöße in der Konsole, blockiert aber keine Ressourcen. Laden Sie die .htaccess-Datei per FTP oder IONOS Dateimanager in das Webroot-Verzeichnis hoch.

.htaccess — Report-Only
.htaccess Report-Only 
# .htaccess — CSP Report-Only
<IfModule mod_headers.c>
    Header set Content-Security-Policy-Report-Only "default-src 'self'; script-src 'self'; style-src 'self' 'unsafe-inline'; img-src 'self' data: https:; font-src 'self'; object-src 'none'; base-uri 'self'; form-action 'self'; frame-ancestors 'none'"
</IfModule>
.htaccess — Enforcement
.htaccess Produktiv 
# .htaccess — CSP Enforcement
<IfModule mod_headers.c>
    Header set Content-Security-Policy "default-src 'self'; script-src 'self'; style-src 'self' 'unsafe-inline'; img-src 'self' data: https:; font-src 'self'; object-src 'none'; base-uri 'self'; form-action 'self'; frame-ancestors 'none'"
</IfModule>
PHP Fallback
index.php Dynamisch 
// PHP Fallback — für dynamische Seiten (z.B. index.php)
<?php
header("Content-Security-Policy: default-src 'self'; script-src 'self'; style-src 'self' 'unsafe-inline'; img-src 'self' data: https:; font-src 'self'; object-src 'none'; base-uri 'self'; form-action 'self'; frame-ancestors 'none'");
?>
IONOS vServer

Auf einem IONOS vServer mit Root-Zugriff konfigurieren Sie CSP direkt in /etc/nginx/conf.d/csp.conf oder /etc/apache2/conf-available/csp.conf — identisch zur Nginx- oder Apache-Anleitung.

Lassen Sie die Policy mindestens 1 Woche im Report-Only-Modus laufen. Testen Sie alle Seitentypen — Startseite, Blog, Formulare, Login und Checkout. Erst wenn keine unerwarteten Violations mehr auftreten, wechseln Sie zu Enforcement.

Verifizierung

Nach dem Upload der .htaccess-Datei prüfen Sie den CSP-Header per curl. Achten Sie darauf, dass der Header sowohl auf der Startseite als auch auf Unterseiten gesetzt wird. Bei IONOS kann es einige Minuten dauern, bis eine neue .htaccess wirksam wird.

Terminal Verifizierung 
# CSP-Header prüfen (nach Upload der .htaccess)
curl -sI https://ihre-domain.de | grep -i content-security-policy

# Erwartete Ausgabe (Report-Only):
# content-security-policy-report-only: default-src 'self'; ...

# Erwartete Ausgabe (Enforcement):
# content-security-policy: default-src 'self'; ...
Alternativ zum Terminal: Der Wolf-Agents Web Security Check prüft Ihren CSP-Header automatisch und bewertet ihn mit bis zu 35 Punkten.

Häufige Fehler bei CSP auf IONOS

.htaccess wird ignoriert — mod_headers nicht geladen

Wenn der CSP-Header nicht erscheint, prüfen Sie den <IfModule mod_headers.c>-Wrapper. Auf manchen IONOS-Tarifen ist mod_headers nicht standardmäßig aktiv. Nutzen Sie in diesem Fall den PHP-Fallback mit header().

PHP header() funktioniert nicht bei statischen Dateien

Der PHP header()-Aufruf setzt den CSP-Header nur für PHP-generierte Seiten. Statische HTML-, CSS- und JS-Dateien werden nicht durch PHP verarbeitet. Nutzen Sie .htaccess für statische Dateien und PHP für dynamische Inhalte.

IONOS WordPress-Hosting: Plugin-Konflikte

Wenn Sie ein WordPress Security-Plugin und gleichzeitig die .htaccess für CSP nutzen, können doppelte oder widersprüchliche Header entstehen. Entscheiden Sie sich für einen Weg — entweder Plugin oder .htaccess — und deaktivieren Sie den CSP im jeweils anderen.

.htaccess Syntax-Fehler führt zu 500 Error

Ein Tippfehler in der .htaccess kann die gesamte Website lahmlegen. Testen Sie Änderungen zuerst mit einer einfachen Regel. Im Fehlerfall löschen Sie die .htaccess per FTP — die Website ist sofort wieder erreichbar. Prüfen Sie das Error-Log im IONOS Control Panel.

Compliance-Relevanz

Eine korrekte Content Security Policy erfüllt zentrale Anforderungen mehrerer Compliance-Frameworks. Auch auf IONOS Shared Hosting liegt die Verantwortung für die Header-Konfiguration beim Betreiber der Website.

PCI DSS 4.0Anforderung 6.4.3 — Kontrolle aller auf Zahlungsseiten geladenen Scripts (seit März 2025 verpflichtend)
NIS2Art. 21(e) — Sicherheit bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen
BSIAPP.3.1 — Webserver-Absicherung mit Security Headern

Auch verfügbar für:

NginxApacheWordPressNext.jsCloudflareExpressCaddyShopifyTYPO3HetznerLaravelDrupalAll-InklShopwareContaoStratoJoomlaPHPSpring Boot

Wie steht Ihre Domain bei Content Security Policy?

Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 166 Prüfpunkte.

Web Security Check starten Monitoring ab 199 EUR/Mo