Reporting API auf IONOS konfigurieren

Security-Violation-Reporting auf Ihrem IONOS Webhosting — Reporting-Endpoints per .htaccess konfigurieren und CSP-Violations protokollieren.

Header prüfen Plattform entdecken

IONOS · Schritt für Schritt

Von Wolf-Agents Security Team · Aktualisiert: 27. März 2026

Reporting API auf IONOS

Reporting API ermöglicht es dem Browser, Security-Violations (CSP, COEP, Deprecations) an einen Server-Endpoint zu melden. Die Header Reporting-Endpoints und Report-To definieren den Empfänger. Der Beitrag ist 4 von 166 Punkten im Wolf-Agents Web Security Check.

Auf IONOS Shared Hosting setzen Sie die Header per .htaccess. Als Reporting-Endpoint nutzen Sie einen externen Service (z.B. report-uri.com) oder einen eigenen PHP-basierten Collector auf Ihrem Webspace. Auf einem IONOS vServer können Sie den Header alternativ in der Apache- oder Nginx-Konfiguration setzen.

Der Wolf-Agents Web Security Check erkennt, ob die Reporting API konfiguriert ist und ob die Endpoint-URL korrekt formatiert ist. Für umfassendes CSP-Violation-Monitoring bietet die Wolf-Agents-Plattform ein dediziertes Reporting-Dashboard.

Ausführliche Einführung in Reporting API

Reporting API auf IONOS implementieren

Setzen Sie den Reporting-Endpoints-Header per .htaccess und erstellen Sie optional einen PHP-basierten Report-Collector. Die .htaccess laden Sie per FTP in /www/htdocs/ hoch. Der PHP-Collector liegt im selben Verzeichnis und empfängt die Browser-Reports als JSON-Payload.

.htaccess — Reporting-Endpoints

# .htaccess — Reporting-Endpoints
<IfModule mod_headers.c>
    Header always set Reporting-Endpoints "csp-endpoint="https://ihre-domain.de/csp-report""
</IfModule>

PHP — Report-Collector

// PHP — Einfacher Reporting-Endpoint (Collector)
<?php
// csp-report.php — empfängt CSP-Violation-Reports
$data = file_get_contents('php://input');
if ($data) {
    $log = date('Y-m-d H:i:s') . ' ' . $data . PHP_EOL;
    file_put_contents('csp-reports.log', $log, FILE_APPEND);
}
http_response_code(204);
?>

Externer Reporting-Service

Für die einfachste Einrichtung nutzen Sie einen externen Service wie report-uri.com. Diese nehmen Reports entgegen und bieten ein Dashboard zur Analyse.

Verifizierung

Prüfen Sie den Reporting-Header nach dem Upload. Der Header muss eine gültige URL enthalten, die per HTTPS erreichbar ist und mit 200 OK oder 204 No Content antwortet.

Tipp: Testen Sie den Reporting-Endpoint mit einer absichtlich fehlerhaften CSP-Policy. Setzen Sie temporär Content-Security-Policy-Report-Only: default-src 'none'; report-to csp-endpoint und prüfen Sie, ob Reports eingehen.

# Reporting-Endpoints Header prüfen
curl -sI https://ihre-domain.de | grep -i reporting

# Erwartete Ausgabe:
# reporting-endpoints: csp-endpoint="https://ihre-domain.de/csp-report"

Häufige Fehler bei Reporting API auf IONOS

Reporting-Probleme auf IONOS Shared Hosting betreffen häufig das JSON-Escaping in der .htaccess und die CORS-Konfiguration des Reporting-Endpoints. Prüfen Sie die Header-Syntax sorgfältig mit einem JSON-Validator. Testen Sie den Endpoint mit einer absichtlich fehlerhaften CSP-Policy.

JSON-Escaping in .htaccess

Report-To erfordert JSON-Syntax im Header-Wert. Geschachtelte Anführungszeichen müssen korrekt escaped werden. Testen Sie mit curl — ungültiges JSON wird vom Browser ignoriert.

CORS-Fehler beim Endpoint

Der Reporting-Endpoint muss CORS-Anfragen akzeptieren. Bei einem eigenen PHP-Endpoint setzen Sie Access-Control-Allow-Origin entsprechend.

Keine Reports trotz Header

Reports werden nur bei tatsächlichen Violations gesendet. Wenn Ihre CSP korrekt ist, erhalten Sie auch keine Reports. Testen Sie mit einer absichtlich restriktiven Policy.

Schreibrechte für Log-Datei auf Shared Hosting

Der PHP-Collector benötigt Schreibrechte auf die Log-Datei. Setzen Sie Berechtigungen auf 644 für die Datei und 755 für das Verzeichnis. Bei Shared Hosting stellen Sie sicher, dass der Webserver-User schreiben kann.

Compliance-Relevanz

Reporting API ermöglicht die automatische Überwachung von Security-Violations in Echtzeit. Browser melden CSP-Verstöße, COEP-Fehler und andere Sicherheitsprobleme direkt an Ihren Reporting-Endpoint — ein wichtiger Baustein für proaktives Security-Monitoring.

NIS2Art. 21(e) — Überwachung und Meldung von Sicherheitsvorfällen

PCI DSS 4.0Anforderung 6.4.3 — Monitoring von Script-Violations auf Zahlungsseiten

BSIAPP.3.1 — Webserver-Absicherung, Security-Event-Monitoring

Zusammenfassung

Die Reporting API verwandelt den Browser Ihrer Besucher in einen Security-Sensor: CSP-Violations, COEP-Fehler und Deprecation-Warnings werden automatisch an Ihren Endpoint gemeldet. Auf IONOS Shared Hosting setzen Sie den Header per .htaccess und nutzen einen PHP-Collector oder einen externen Service als Endpoint.

Für eine professionelle Auswertung der Reports empfiehlt sich ein externer Service wie report-uri.com — dieser bietet ein Dashboard zur Analyse und Visualisierung der gemeldeten Violations. Die Wolf-Agents-Plattform bietet ebenfalls ein integriertes CSP-Violation-Monitoring für Ihre Domains.

Auch verfügbar für:

Nginx Apache WordPress Next.js Cloudflare Express Caddy Shopify TYPO3 Hetzner Laravel Drupal All-Inkl Shopware Contao Strato Joomla PHP Spring Boot

Wie steht Ihre Domain bei Reporting API?

Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 166 Prüfpunkte.

Web Security Check starten Monitoring ab 199 EUR/Mo