CSP für Shopify konfigurieren

Content Security Policy für Shopify — ehrlich über Einschränkungen, Meta-Tag-Grenzen und den Cloudflare-Proxy als empfohlenen Workaround für vollständige CSP-Kontrolle.

Shopify · Schritt für Schritt

Content Security Policy bei Shopify

Shopify ist eine Hosted-Plattform — das bedeutet, Sie haben keinen Zugriff auf HTTP-Header. Shopify setzt standardmäßig nur frame-ancestors 'none' als CSP-Direktive, um Clickjacking zu verhindern. Einen eigenen, vollständigen CSP-Header können Sie über das Shopify-Dashboard nicht setzen.

CSP ist mit 35 von 166 Punkten der einflussreichste Header im Wolf-Agents Web Security Check. Diese Anleitung ist bewusst transparent: Wir zeigen Ihnen die realen Einschränkungen, die begrenzte Meta-Tag-Option und den empfohlenen Workaround über Cloudflare. Keine falschen Versprechen — sondern pragmatische Lösungen.

1 Schritt 1 von 3

Shopify-Einschränkungen verstehen

Bevor Sie Zeit investieren: Verstehen Sie, was Shopify nicht kann. Shopify kontrolliert die Server-Infrastruktur vollständig — Sie haben keinen Zugriff auf Webserver-Konfiguration, HTTP-Header oder Server-Side-Logik.

Kein HTTP-Header-Zugriff

Shopify erlaubt keine eigenen Response-Header. CSP kann nicht als HTTP-Header gesetzt werden — weder über Dashboard, API noch Liquid.

Kein Report-Only per Header

Content-Security-Policy-Report-Only ist nur als HTTP-Header möglich, nicht als Meta-Tag. Violations können Sie nur über die Browser DevTools beobachten.

Shopify-eigene Scripts

Shopify injiziert eigene Scripts für Checkout, Analytics und Apps. Eine strikte CSP kann diese Scripts blockieren und den Shop unbrauchbar machen.

frame-ancestors automatisch gesetzt

Shopify setzt frame-ancestors 'none' standardmäßig. Dieser Schutz gegen Clickjacking ist aktiv — ohne Ihr Zutun.

2 Schritt 2 von 3

Meta-Tag CSP — die eingeschränkte Option

Sie können eine CSP über ein <meta>-Tag im Shopify-Theme setzen. Das ist die einzige Möglichkeit ohne externen Proxy — aber mit erheblichen Einschränkungen. Seien Sie sich bewusst: Dies ist eine Notlösung, kein vollwertiger Ersatz.

theme.liquid — im <head> Eingeschränkt
<meta http-equiv="Content-Security-Policy"
      content="default-src 'self' *.shopify.com *.shopifycdn.net; script-src 'self' 'unsafe-inline' 'unsafe-eval' *.shopify.com *.shopifycdn.net cdn.shopify.com; style-src 'self' 'unsafe-inline' *.shopify.com *.shopifycdn.net; img-src 'self' data: *.shopify.com *.shopifycdn.net cdn.shopify.com">

Einschränkungen des Meta-Tags

Kein frame-ancestors — wird im Meta-Tag ignoriert
Kein report-uri / report-to — Violation Reporting nicht möglich
Kein sandbox — nur per HTTP-Header möglich
unsafe-inline und unsafe-eval nötig für Shopify-Scripts
Testen Sie jeden Schritt im Shop gründlich — besonders Checkout, Cart und installierte Apps. Eine zu strenge CSP kann den Kaufprozess blockieren. Im Zweifel ist keine Meta-Tag-CSP besser als eine fehlerhafte.
3 Schritt 3 von 3 · Empfohlen

Cloudflare-Proxy als Workaround

Der zuverlässigste Weg zu einer vollständigen CSP für Shopify: Cloudflare als Reverse Proxy vorschalten. Cloudflare sitzt zwischen Besucher und Shopify und kann eigene HTTP-Header setzen — inklusive Content-Security-Policy, report-uri und allen Direktiven, die das Meta-Tag nicht unterstützt.

1
Domain auf Cloudflare umziehen

Nameserver der Domain auf Cloudflare setzen. DNS-Eintrag für die Domain als CNAME auf shops.myshopify.com zeigen lassen (Proxy-Status: Proxied).

2
Transform Rule erstellen

Under Rules → Transform Rules → Modify Response Header den Content-Security-Policy-Report-Only-Header setzen. Zuerst Report-Only, dann Enforcement.

3
Policy testen und anpassen

Shopify-Domains whitelisten: *.shopify.com, *.shopifycdn.net, cdn.shopify.com. Alle installierten Apps einzeln testen.

Detaillierte Cloudflare-Anleitung

Für die vollständige Schritt-für-Schritt-Anleitung mit Transform Rules und Worker-Nonces siehe unsere CSP-Anleitung für Cloudflare. Der Ablauf ist identisch — Sie müssen lediglich die Shopify-Domains in Ihrer Policy whitelisten.

Cloudflare Free Plan genügt für Transform Rules. Für dynamische Nonces per Worker brauchen Sie den Workers-Plan (erste 100.000 Requests/Tag kostenlos). Testen Sie gründlich — Shopify injiziert Scripts, die Sie in der CSP berücksichtigen müssen.

Wie steht Ihre Domain bei Content Security Policy?

Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 166 Prüfpunkte.