Permissions Policy auf All-Inkl konfigurieren

Browser-APIs wie Kamera, Mikrofon und Geolocation auf Ihrem All-Inkl Webhosting einschränken — per .htaccess mit einer Zeile mod_headers.

Header prüfen Plattform entdecken

All-Inkl · Schritt für Schritt

Von Wolf-Agents Security Team · Aktualisiert: 27. März 2026

Permissions Policy auf All-Inkl

Permissions Policy (ehemals Feature Policy) kontrolliert, welche Browser-APIs Ihre Website nutzen darf. Der Header verhindert, dass eingebettete Inhalte oder kompromittierte Scripts auf Kamera, Mikrofon, Geolocation oder Payment-APIs zugreifen. Im Wolf-Agents Web Security Check bringt Permissions Policy 10 von 166 Punkten.

Da mod_headers auf allen All-Inkl-Tarifen aktiv ist, genügt eine einzige Zeile in der .htaccess-Datei. Die Konfiguration unter /www/htdocs/[username]/[domain]/ wirkt sofort — kein Neustart, kein Support-Ticket nötig.

Ausführliche Einführung in Permissions Policy

Permissions Policy auf All-Inkl implementieren

Der leere Wert () deaktiviert die jeweilige API vollständig. Wenn Ihre Website eine API benötigt (z.B. Geolocation für eine Kartenanwendung), setzen Sie stattdessen geolocation=(self).

.htaccess (empfohlen)

# /www/htdocs/[username]/[domain]/.htaccess
<IfModule mod_headers.c>
    Header set Permissions-Policy "camera=(), microphone=(), geolocation=(), payment=(), usb=(), magnetometer=(), gyroscope=(), accelerometer=()"
</IfModule>

PHP (Alternative)

// PHP-Alternative
<?php
header("Permissions-Policy: camera=(), microphone=(), geolocation=(), payment=(), usb=(), magnetometer=(), gyroscope=(), accelerometer=()");
?>

APIs gezielt erlauben

Benötigt Ihre Website eine API? Statt camera=() verwenden Sie camera=(self) für die eigene Domain oder camera=(self "https://videokonferenz.example.com") für spezifische Third-Party-Domains.

Verifizierung

Laden Sie die .htaccess per FTP hoch und prüfen Sie den Header mit curl. Der Header erscheint sofort — kein Server-Neustart nötig.

# Permissions-Policy-Header prüfen
curl -sI https://ihre-domain.de | grep -i permissions-policy

# Erwartete Ausgabe:
# permissions-policy: camera=(), microphone=(), geolocation=(), ...

Testen Sie in einem Inkognito-Fenster, um Browser-Cache-Effekte auszuschließen. Der Wolf-Agents Scanner bewertet alle Permissions-Policy-Direktiven einzeln.

Häufige Fehler bei Permissions Policy auf All-Inkl

Header-Wert mit Klammern in .htaccess falsch escaped

Die runden Klammern () in Permissions-Policy-Werten müssen in der .htaccess korrekt in Anführungszeichen stehen: Header set Permissions-Policy "camera=(), microphone=()". Fehlen die äußeren Anführungszeichen, interpretiert Apache die Klammern als Regex-Gruppierung und der Header wird falsch gesetzt.

Komma vs. Semikolon verwechselt

Permissions-Policy-Direktiven werden mit Komma getrennt, nicht mit Semikolon: camera=(), microphone=(), geolocation=(). Semikolons sind CSP-Syntax und führen bei Permissions Policy zu einem ungültigen Header. Browser ignorieren den gesamten Header bei falscher Syntax.

.htaccess nicht im richtigen Verzeichnis

Die .htaccess muss im Hauptverzeichnis der Domain liegen: /www/htdocs/[username]/[domain]/. Eine Datei im übergeordneten Verzeichnis wirkt nicht. Prüfen Sie den Pfad im KAS-Dateimanager oder per FTP.

Compliance-Relevanz

Permissions Policy reduziert die Angriffsfläche Ihrer Website und schränkt die Fähigkeiten potenziell kompromittierter Third-Party-Scripts ein.

NIS2Art. 21(e) — Sicherheit bei Entwicklung und Wartung von Informationssystemen

DSGVOArt. 25 — Datenschutz durch Technikgestaltung (Privacy by Design)

BSIAPP.3.1 — Webserver-Absicherung, Minimierung der Angriffsfläche

Auch verfügbar für:

Nginx Apache WordPress Next.js Cloudflare Express Caddy Shopify TYPO3 Hetzner Laravel Drupal IONOS Shopware Contao Strato Joomla PHP Spring Boot

Wie steht Ihre Domain bei Permissions Policy?

Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 166 Prüfpunkte.

Web Security Check starten Monitoring ab 199 EUR/Mo