Security-Header-Architektur für Bunny CDN

Konsolidierte Architektur für alle Security Headers auf Bunny CDN — Edge Rules im Dashboard und per API, mit Perma-Cache- und Shield-Kompatibilität.

Header prüfen Plattform entdecken
Bunny CDN · Schritt für Schritt
Von Wolf-Agents Security Team · Aktualisiert: 30. März 2026

Header-Architektur auf Bunny CDN

Bunny CDN setzt Security Headers über Edge Rules — Regeln, die bei jedem Request auf Edge-Ebene ausgeführt werden. Im Gegensatz zu Origin-basierten Headern funktionieren Edge Rules auch bei gecachten Responses und Perma-Cache-Treffern. Wolf-Agents nutzt Bunny CDN selbst und setzt alle Security Headers über Edge Rules.

Pro Pull Zone sind maximal 50 Edge Rules möglich. Eine vollständige Security-Header-Konfiguration benötigt etwa 12 bis 16 Regeln. Planen Sie die verbleibenden Slots für Redirects, Geo-Blocking oder Custom-Caching-Regeln ein.

Allgemeine Einführung in die Header-Architektur

1 Schritt 1 von 3

Basis-Header per Dashboard Edge Rules

Legen Sie im Bunny Dashboard unter Pull Zone → Edge Rules fünf Regeln für die wichtigsten Security Headers an. Jede Regel setzt genau einen Header. Die Reihenfolge der Regeln spielt bei Response Headers keine Rolle, da sie unabhängig voneinander ausgewertet werden.

Bunny Dashboard → Edge Rules Dashboard 
# Bunny Dashboard — Edge Rule für Security Headers
# Pull Zone → Edge Rules → Add Edge Rule

Condition: Match All
Action:   Set Response Header

# Regel 1: HSTS
Header Name:  Strict-Transport-Security
Header Value: max-age=31536000; includeSubDomains; preload

# Regel 2: X-Content-Type-Options
Header Name:  X-Content-Type-Options
Header Value: nosniff

# Regel 3: Referrer-Policy
Header Name:  Referrer-Policy
Header Value: strict-origin-when-cross-origin

# Regel 4: X-Frame-Options
Header Name:  X-Frame-Options
Header Value: DENY

# Regel 5: Permissions-Policy
Header Name:  Permissions-Policy
Header Value: camera=(), microphone=(), geolocation=()
Edge Rules und Perma-Cache

Edge Rules werden bei jedem Request ausgeführt, unabhängig davon, ob die Antwort aus dem regulären Cache, dem Perma-Cache oder vom Origin kommt. Security Header per Edge Rule sind daher zuverlässiger als Origin-basierte Header.

2 Schritt 2 von 3

Edge Rules per Bunny API automatisieren

Für reproduzierbare Deployments und Infrastructure-as-Code erstellen Sie Edge Rules per Bunny API. Der Endpoint POST /pullzone/{id}/edgerules mit ActionType: 15 setzt Response Header. Speichern Sie die API-Calls als Shell-Script für wiederholbare Deployments.

Bunny API (cURL) API 
# Bunny API — Edge Rule per cURL erstellen
curl -X POST https://api.bunny.net/pullzone/{pullZoneId}/edgerules \
  -H "AccessKey: YOUR_API_KEY" \
  -H "Content-Type: application/json" \
  -d '{
  "ActionType": 15,
  "ActionParameter1": "Strict-Transport-Security",
  "ActionParameter2": "max-age=31536000; includeSubDomains; preload",
  "Triggers": [{
    "Type": 0,
    "PatternMatchingType": 0,
    "PatternMatches": ["*"]
  }],
  "TriggerMatchingType": 0,
  "Description": "HSTS Header",
  "Enabled": true
}'

# ActionType 15 = Set Response Header
# ActionParameter1 = Header Name
# ActionParameter2 = Header Value
# Triggers Type 0 = Request URL Match
Speichern Sie Ihren API Key niemals im Code. Nutzen Sie Umgebungsvariablen oder ein Secret-Management-Tool. Der Bunny API Key hat vollen Zugriff auf Ihr gesamtes Konto.
3 Schritt 3 von 3

Verifizieren

Prüfen Sie alle Security Headers per curl. Edge Rules werden sofort aktiv, ein Cache-Purge ist nicht nötig. Testen Sie sowohl die b-cdn.net-URL als auch Ihren Custom Hostname.

Terminal Verifizieren 
# Alle Security Headers prüfen
curl -sI https://ihre-domain.b-cdn.net | grep -iE "strict-transport|x-content-type|referrer-policy|x-frame|permissions-policy"

# Erwartete Ausgabe:
strict-transport-security: max-age=31536000; includeSubDomains; preload
x-content-type-options: nosniff
referrer-policy: strict-origin-when-cross-origin
x-frame-options: DENY
permissions-policy: camera=(), microphone=(), geolocation=()

Häufige Fehler

50-Edge-Rule-Limit erreicht

Pro Pull Zone sind maximal 50 Edge Rules möglich. Konsolidieren Sie Regeln oder nutzen Sie separate Pull Zones für unterschiedliche Zwecke (Assets vs. HTML).

Edge Rule Priorität-Konflikte

Wenn mehrere Edge Rules denselben Header setzen, gewinnt die Regel mit der höheren Priorität (niedrigere Nummer). Prüfen Sie die Reihenfolge im Dashboard.

Origin-Header und Edge Rule Dopplung

Wenn Ihr Origin bereits Security Headers setzt und Edge Rules dieselben Header setzen, können doppelte Header entstehen. Nutzen Sie die Edge Rule Aktion Override Response Header statt Set Response Header.

Bunny Shield Double-Caching

Bunny Shield (Origin Shield) fügt eine zusätzliche Cache-Schicht hinzu. Edge Rules werden trotzdem auf der Edge ausgeführt. Aber Cache-Control-Header des Origins können vom Shield abweichend interpretiert werden.

Compliance-Relevanz

Eine konsolidierte Security-Header-Architektur ist die Basis für Compliance mit PCI DSS 4.0 (Requirement 6.4.1 — Client-Side Security), BSI IT-Grundschutz (APP.3.1) und NIS2 (Art. 21 — technische Maßnahmen). Bunny CDN mit EU-only Storage Zones unterstützt die DSGVO-konforme Datenverarbeitung. Der Wolf-Agents Web Security Check prüft 166 Punkte und zeigt den Umsetzungsgrad Ihrer Header-Architektur.

Auch verfügbar für:

NginxApacheWordPressNext.jsCloudflareExpressCaddyShopifyTYPO3HetznerLaravelDrupalIONOSAll-InklShopwareContaoStratoJoomlaPHPSpring BootNuxtVercelLiteSpeedAWS CloudFrontAstro

Wie steht Ihre Domain bei Implementierungs-Architektur?

Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 166 Prüfpunkte.

Web Security Check starten Monitoring ab 199 EUR/Mo