Permissions Policy für Bunny CDN konfigurieren

Browser-APIs per Edge Rule einschränken — Kamera, Mikrofon, Geolocation und weitere Sensoren auf CDN-Ebene deaktivieren.

Header prüfen Plattform entdecken
Bunny CDN · Schritt für Schritt
Von Wolf-Agents Security Team · Aktualisiert: 30. März 2026

Permissions Policy auf Bunny CDN

Permissions Policy kontrolliert, welche Browser-APIs eine Website nutzen darf. Mit 10 von 166 Punkten im Wolf-Agents Web Security Check schützt dieser Header vor unerwünschtem Zugriff auf Kamera, Mikrofon und Standortdaten. Auf Bunny CDN setzen Sie die Policy per Edge Rule für die gesamte Pull Zone.

Die Permissions Policy ersetzt den veralteten Feature-Policy-Header. Setzen Sie beide Header nicht gleichzeitig — moderne Browser verwenden ausschließlich Permissions-Policy. Wolf-Agents nutzt Bunny CDN selbst und setzt die Permissions Policy per Edge Rule.

Ausführliche Einführung in Permissions Policy

1 Schritt 1 von 3

Permissions Policy per Edge Rule setzen

Legen Sie eine Edge Rule im Bunny Dashboard an. Die Syntax verwendet feature=(allowlist) — ein leeres () deaktiviert die API komplett. Passen Sie die Direktiven an Ihre Anforderungen an: Wenn Ihre Seite z.B. Geolocation nutzt, setzen Sie geolocation=(self) statt geolocation=().

Bunny Dashboard → Edge Rules Dashboard 
# Bunny Dashboard → Pull Zone → Edge Rules → Add Edge Rule

Condition:    Match All
Action:       Set Response Header
Header Name:  Permissions-Policy
Header Value: camera=(), microphone=(), geolocation=(), payment=(), usb=(), magnetometer=(), gyroscope=(), accelerometer=()

# Erklärung der Direktiven:
# camera=()         → Kamera für alle Kontexte deaktiviert
# microphone=()     → Mikrofon für alle Kontexte deaktiviert
# geolocation=()    → Standortabfrage für alle Kontexte deaktiviert
# payment=()        → Payment Request API deaktiviert
# usb=()            → WebUSB API deaktiviert
# magnetometer=()   → Magnetometer-Sensor deaktiviert
# gyroscope=()      → Gyroskop-Sensor deaktiviert
# accelerometer=()  → Beschleunigungssensor deaktiviert
Iframe-Kontext beachten

Permissions Policy gilt auch für eingebettete Iframes. Wenn Sie Drittanbieter-Inhalte per Iframe einbetten (z.B. YouTube, Maps), müssen die benötigten APIs explizit erlaubt werden: camera=(self "https://trusted.example").

2 Schritt 2 von 3

Per Bunny API automatisieren

Für Infrastructure-as-Code erstellen Sie die Edge Rule per Bunny API. Der ActionType: 15 setzt Response Header. Speichern Sie die API-Calls als Shell-Script für reproduzierbare Deployments über mehrere Pull Zones hinweg.

Bunny API (cURL) API 
# Bunny API — Permissions Policy Edge Rule erstellen
curl -X POST https://api.bunny.net/pullzone/{pullZoneId}/edgerules \
  -H "AccessKey: YOUR_API_KEY" \
  -H "Content-Type: application/json" \
  -d '{
  "ActionType": 15,
  "ActionParameter1": "Permissions-Policy",
  "ActionParameter2": "camera=(), microphone=(), geolocation=(), payment=(), usb=(), magnetometer=(), gyroscope=(), accelerometer=()",
  "Triggers": [{
    "Type": 0,
    "PatternMatchingType": 0,
    "PatternMatches": ["*"]
  }],
  "TriggerMatchingType": 0,
  "Description": "Permissions Policy Header",
  "Enabled": true
}'
3 Schritt 3 von 3

Verifizieren

Prüfen Sie den Permissions-Policy-Header per curl. Ergänzend können Sie die Browser DevTools nutzen: Unter Application → Permissions Policy sehen Sie den Status jeder API. Edge Rules werden sofort aktiv — kein Cache-Purge nötig.

Terminal Verifizieren 
# Permissions-Policy-Header prüfen
curl -sI https://ihre-domain.b-cdn.net | grep -i permissions-policy

# Erwartete Ausgabe:
permissions-policy: camera=(), microphone=(), geolocation=(), payment=(), usb=(), magnetometer=(), gyroscope=(), accelerometer=()

# Browser DevTools → Application → Permissions Policy prüfen
# Alle gelisteten APIs sollten "Disabled" zeigen

Häufige Fehler

Feature-Policy statt Permissions-Policy

Der Feature-Policy-Header ist veraltet. Moderne Browser unterstützen nur Permissions-Policy mit der neuen Syntax feature=(allowlist) statt feature 'allowlist'.

Falsche Syntax: Semikolon statt Komma

Permissions Policy trennt Direktiven mit Komma, nicht mit Semikolon. Korrekt: camera=(), microphone=(). Falsch: camera=(); microphone=().

Zu restriktive Policy bricht Funktionalität

Wenn Ihre Website Geolocation oder Payment Request API nutzt, sperren Sie diese Features nicht. Testen Sie die Policy gründlich, bevor Sie sie auf alle Seiten anwenden.

Compliance-Relevanz

Permissions Policy unterstützt DSGVO-Compliance, indem sie den Zugriff auf standortbezogene und gerätespezifische Daten technisch unterbindet. PCI DSS 4.0 fordert die Minimierung der Angriffsfläche — das Deaktivieren ungenutzter Browser-APIs ist eine direkte Umsetzung. NIS2 verlangt technische Maßnahmen zur Risikominimierung. Bunny CDN mit EU-only Storage Zones ergänzt den Datenschutzaspekt. Der Wolf-Agents Web Security Check prüft die Permissions Policy als Teil der 166-Punkte-Analyse.

Auch verfügbar für:

NginxApacheWordPressNext.jsCloudflareExpressCaddyShopifyTYPO3HetznerLaravelDrupalIONOSAll-InklShopwareContaoStratoJoomlaPHPSpring BootNuxtVercelLiteSpeedAWS CloudFrontAstro

Wie steht Ihre Domain bei Permissions Policy?

Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 166 Prüfpunkte.

Web Security Check starten Monitoring ab 199 EUR/Mo