Permissions Policy auf IONOS konfigurieren

Browser-APIs auf Ihrem IONOS Webhosting kontrollieren — Kamera, Mikrofon und Geolocation per .htaccess einschränken. Restriktive und permissive Konfiguration.

Header prüfen Plattform entdecken
IONOS · Schritt für Schritt
Von Wolf-Agents Security Team · Aktualisiert: 27. März 2026

Permissions Policy auf IONOS

Permissions Policy kontrolliert, welche Browser-APIs Ihre Website und eingebettete Drittanbieter-Inhalte nutzen dürfen. Kamera, Mikrofon, Geolocation und weitere APIs können gezielt deaktiviert werden. Der Header ist mit 10 von 166 Punkten ein solider Beitrag im Wolf-Agents Web Security Check.

Auf IONOS Shared Hosting setzen Sie die Permissions Policy per .htaccess mit mod_headers — ein Einzeiler genügt. Auf dem IONOS vServer konfigurieren Sie den Header direkt in der Webserver-Konfiguration, identisch zur Nginx- oder Apache-Anleitung.

Ausführliche Einführung in Permissions Policy

Permissions Policy auf IONOS implementieren

Wählen Sie die restriktive Variante (alle APIs deaktiviert — empfohlen) oder die permissive Variante (ausgewählte APIs für die eigene Domain erlaubt). Laden Sie die .htaccess per FTP oder IONOS Dateimanager hoch.

.htaccess — Restriktiv
.htaccess Empfohlen 
# .htaccess — Permissions Policy (restriktiv, empfohlen)
<IfModule mod_headers.c>
    Header always set Permissions-Policy "camera=(), microphone=(), geolocation=(), payment=(), usb=(), magnetometer=(), gyroscope=(), accelerometer=()"
</IfModule>
.htaccess — Permissiv
.htaccess Permissiv 
# .htaccess — Permissions Policy (permissiv, für Apps mit Kamera/Standort)
<IfModule mod_headers.c>
    Header always set Permissions-Policy "camera=(self), microphone=(self), geolocation=(self), payment=(), fullscreen=(self), autoplay=(self)"
</IfModule>
Syntax: () vs. (self)

Ein leeres () deaktiviert die API vollständig. (self) erlaubt die Nutzung nur für die eigene Origin. Im Gegensatz zu CSP wird self hier ohne Anführungszeichen geschrieben.

Verifizierung

Prüfen Sie den Header per curl und testen Sie alle Seiten mit eingebetteten Inhalten — YouTube-Videos, Google Maps und Payment-Widgets können von einer zu restriktiven Policy betroffen sein.

Terminal Verifizierung 
# Permissions-Policy Header prüfen
curl -sI https://ihre-domain.de | grep -i permissions-policy

# Erwartete Ausgabe:
# permissions-policy: camera=(), microphone=(), geolocation=(), ...

Häufige Fehler bei Permissions Policy auf IONOS

YouTube und Google Maps blockiert

YouTube-Embeds benötigen fullscreen=(self) und autoplay=(self). Google Maps benötigt geolocation=(self). Wechseln Sie in diesem Fall zur permissiven Variante.

.htaccess wird ignoriert — mod_headers nicht geladen

Wenn der Header nicht erscheint, prüfen Sie den <IfModule mod_headers.c>-Wrapper. Auf manchen Tarifen ist mod_headers nicht aktiv. Kontaktieren Sie den IONOS-Support oder nutzen Sie den PHP-Fallback: header("Permissions-Policy: ...").

IONOS CDN cached Header nicht durch

Wenn Sie den IONOS CDN-Dienst nutzen, kann es vorkommen, dass geänderte Header nicht sofort sichtbar sind. Leeren Sie den CDN-Cache im Control Panel und warten Sie einige Minuten.

Compliance-Relevanz

Die Permissions Policy schützt die Privatsphäre von Besuchern, indem sie den Zugriff auf sensible Browser-APIs kontrolliert.

OWASPOWASP ASVS — Kontrolle über Browser-Features und API-Zugriffe
DSGVOArt. 25 — Privacy by Design, Minimierung des Zugriffs auf Geolocation und Kamera
BSIAPP.3.1 — Webserver-Absicherung, Minimierung der Angriffsfläche

Auch verfügbar für:

NginxApacheWordPressNext.jsCloudflareExpressCaddyShopifyTYPO3HetznerLaravelDrupalAll-InklShopwareContaoStratoJoomlaPHPSpring Boot

Wie steht Ihre Domain bei Permissions Policy?

Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 166 Prüfpunkte.

Web Security Check starten Monitoring ab 199 EUR/Mo