Alle Security Headers für Cloudflare konfigurieren
Transform Rules im Dashboard: 11 Security Headers ohne Server-Zugriff. Ideal für Shopify, Wix und alle Plattformen ohne native Header-Kontrolle.
Cloudflare Transform Rules für alle Security Headers
Cloudflare kann Security Headers über Transform Rules im Dashboard setzen — kein Server-Zugriff nötig. Eine einzige Regel kann bis zu 30 Header konfigurieren. Der kostenlose Cloudflare-Plan erlaubt 10 aktive Transform Rules — eine einzelne Regel reicht für alle 11 Security Headers.
Verwenden Sie bei jeder Header-Aktion Set static (nicht "Add"). Set überschreibt den Origin-Header und verhindert Duplikate. Die vorgefertigte Managed Transform "Add security headers" deckt nur 5 Header ab und verwendet Add-Semantik — eigene Transform Rules mit Set-Semantik sind zuverlässiger.
Vollständige Konfiguration
Erstellen Sie unter Rules → Transform Rules → Modify Response Header eine neue Regel. Rule Name: Security Headers - All, When: All incoming requests.
# Alle Header-Aktionen als "Set static" konfigurieren
# ANPASSEN: CSP und Reporting-Endpoints an Ihre Domain anpassen
Content-Security-Policy
default-src 'self'; script-src 'self'; style-src 'self' 'unsafe-inline'; img-src 'self' data: https:; font-src 'self'; connect-src 'self'; object-src 'none'; worker-src 'self'; frame-ancestors 'self'; base-uri 'self'; form-action 'self'; upgrade-insecure-requests; report-uri /csp-report; report-to csp-endpoint
Strict-Transport-Security
max-age=31536000; includeSubDomains; preload
Permissions-Policy
camera=(), microphone=(), geolocation=(), payment=(), usb=(), bluetooth=(), idle-detection=(), serial=(), browsing-topics=(), unload=()
X-Frame-Options
SAMEORIGIN
Referrer-Policy
strict-origin-when-cross-origin
X-Content-Type-Options
nosniff
Cross-Origin-Resource-Policy
same-origin
Cross-Origin-Opener-Policy
same-origin
Cross-Origin-Embedder-Policy
credentialless
Reporting-Endpoints
csp-endpoint="https://ihre-domain.de/csp-report"
Origin-Agent-Cluster
?1Set static. Set überschreibt den Origin-Header und verhindert Duplikate. Add erzeugt einen zusätzlichen Header neben dem Origin-Header. Eine einzige Transform Rule kann bis zu 30 Header setzen. Das kostenlose Cloudflare-Abo erlaubt 10 aktive Transform Rules — eine einzelne Regel reicht für alle Security Headers.
Was jeder Header macht
| Header | Schutz | Kapitel |
|---|---|---|
Content-Security-Policy | XSS-Angriffe verhindern — definiert erlaubte Ressourcen | Kap. 01 |
Strict-Transport-Security | HTTPS erzwingen — Downgrade-Angriffe verhindern | Kap. 02 |
Permissions-Policy | Browser-APIs deaktivieren — Kamera, Mikrofon, etc. | Kap. 04 |
X-Frame-Options | Clickjacking verhindern — Einbettung kontrollieren | Kap. 05 |
Referrer-Policy | URL-Leaks kontrollieren — Referrer-Informationen begrenzen | Kap. 06 |
X-Content-Type-Options | MIME-Sniffing verhindern — Dateitypen erzwingen | Kap. 07 |
CORP / COOP / COEP | Cross-Origin-Isolation — Spectre-Angriffe verhindern | Kap. 08 |
Reporting-Endpoints | Violation-Reports an Ihren Endpoint senden | Kap. 14 |
Origin-Agent-Cluster | Prozess-Isolation im Browser aktivieren | Kap. 16 |
Verifikation
Transform Rules wirken sofort nach dem Speichern.
# Alle Security Headers prüfen
curl -I https://ihre-domain.de 2>/dev/null | grep -iE \
"content-security|strict-transport|x-frame|x-content-type|referrer-policy|permissions-policy|cross-origin|origin-agent|reporting-endpoints"
# Auf Duplikate prüfen (Origin + Cloudflare können doppeln)
curl -I https://ihre-domain.de 2>/dev/null | sort | uniq -diWenn Ihr Origin-Server bereits Security Headers setzt und Cloudflare dieselben per Transform Rule hinzufügt, entstehen Duplikate. Entfernen Sie entweder die Header auf dem Origin oder verwenden Sie Set-Semantik in Cloudflare.
Wie steht Ihre Domain bei Security-Header-Architektur?
Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 166 Prüfpunkte.