CSP für Shopify konfigurieren
Content Security Policy für Shopify — ehrlich über Einschränkungen, Meta-Tag-Grenzen und den Cloudflare-Proxy als empfohlenen Workaround für vollständige CSP-Kontrolle.
Content Security Policy bei Shopify
Shopify ist eine Hosted-Plattform — das bedeutet, Sie haben keinen Zugriff auf HTTP-Header. Shopify setzt standardmäßig nur frame-ancestors 'none' als CSP-Direktive, um Clickjacking zu verhindern. Einen eigenen, vollständigen CSP-Header können Sie über das Shopify-Dashboard nicht setzen.
CSP ist mit 35 von 166 Punkten der einflussreichste Header im Wolf-Agents Web Security Check. Diese Anleitung ist bewusst transparent: Wir zeigen Ihnen die realen Einschränkungen, die begrenzte Meta-Tag-Option und den empfohlenen Workaround über Cloudflare. Keine falschen Versprechen — sondern pragmatische Lösungen.
Shopify-Einschränkungen verstehen
Bevor Sie Zeit investieren: Verstehen Sie, was Shopify nicht kann. Shopify kontrolliert die Server-Infrastruktur vollständig — Sie haben keinen Zugriff auf Webserver-Konfiguration, HTTP-Header oder Server-Side-Logik.
Shopify erlaubt keine eigenen Response-Header. CSP kann nicht als HTTP-Header gesetzt werden — weder über Dashboard, API noch Liquid.
Content-Security-Policy-Report-Only ist nur als HTTP-Header möglich, nicht als Meta-Tag. Violations können Sie nur über die Browser DevTools beobachten.
Shopify injiziert eigene Scripts für Checkout, Analytics und Apps. Eine strikte CSP kann diese Scripts blockieren und den Shop unbrauchbar machen.
Shopify setzt frame-ancestors 'none' standardmäßig. Dieser Schutz gegen Clickjacking ist aktiv — ohne Ihr Zutun.
Meta-Tag CSP — die eingeschränkte Option
Sie können eine CSP über ein <meta>-Tag im Shopify-Theme setzen. Das ist die einzige Möglichkeit ohne externen Proxy — aber mit erheblichen Einschränkungen. Seien Sie sich bewusst: Dies ist eine Notlösung, kein vollwertiger Ersatz.
<meta http-equiv="Content-Security-Policy"
content="default-src 'self' *.shopify.com *.shopifycdn.net; script-src 'self' 'unsafe-inline' 'unsafe-eval' *.shopify.com *.shopifycdn.net cdn.shopify.com; style-src 'self' 'unsafe-inline' *.shopify.com *.shopifycdn.net; img-src 'self' data: *.shopify.com *.shopifycdn.net cdn.shopify.com"> Cloudflare-Proxy als Workaround
Der zuverlässigste Weg zu einer vollständigen CSP für Shopify: Cloudflare als Reverse Proxy vorschalten. Cloudflare sitzt zwischen Besucher und Shopify und kann eigene HTTP-Header setzen — inklusive Content-Security-Policy, report-uri und allen Direktiven, die das Meta-Tag nicht unterstützt.
Nameserver der Domain auf Cloudflare setzen. DNS-Eintrag für die Domain als CNAME auf shops.myshopify.com zeigen lassen (Proxy-Status: Proxied).
Under Rules → Transform Rules → Modify Response Header den Content-Security-Policy-Report-Only-Header setzen. Zuerst Report-Only, dann Enforcement.
Shopify-Domains whitelisten: *.shopify.com, *.shopifycdn.net, cdn.shopify.com. Alle installierten Apps einzeln testen.
Für die vollständige Schritt-für-Schritt-Anleitung mit Transform Rules und Worker-Nonces siehe unsere CSP-Anleitung für Cloudflare. Der Ablauf ist identisch — Sie müssen lediglich die Shopify-Domains in Ihrer Policy whitelisten.
Wie steht Ihre Domain bei Content Security Policy?
Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 166 Prüfpunkte.