Subresource Integrity auf All-Inkl einrichten
SRI-Hashes für externe Scripts und Stylesheets generieren und in HTML einbinden — keine Server-Konfiguration nötig. Funktioniert auf allen All-Inkl-Tarifen.
Subresource Integrity auf All-Inkl
Subresource Integrity (SRI) schützt gegen kompromittierte CDNs und Man-in-the-Middle-Angriffe. SRI ist kein HTTP-Header, sondern ein HTML-Attribut: Sie fügen jedem externen <script>- und <link>-Tag ein integrity-Attribut mit einem kryptographischen Hash hinzu. Im Wolf-Agents Web Security Check bringt SRI 15 von 166 Punkten.
Der große Vorteil für All-Inkl-Kunden: SRI erfordert keine Server-Konfiguration. Sie ändern nur den HTML-Code. Ab dem PrivatPlus-Tarif können Sie Hashes auch per SSH direkt auf dem Server generieren. Ohne SSH nutzen Sie Online-Tools wie srihash.org.
SRI auf All-Inkl implementieren
Generieren Sie für jede externe Ressource einen SHA-384-Hash und fügen Sie ihn als integrity-Attribut ein. Das crossorigin="anonymous"-Attribut ist für CDN-gehostete Ressourcen zwingend erforderlich.
# SRI-Hash generieren (SSH ab PrivatPlus-Tarif)
# Methode 1: Lokale Datei auf dem All-Inkl-Server
openssl dgst -sha384 -binary /www/htdocs/[user]/[domain]/assets/app.js | openssl base64 -A
# Methode 2: Remote-Datei von CDN
curl -s https://cdn.example.com/lib.js | openssl dgst -sha384 -binary | openssl base64 -A
# Ohne SSH: Online-Tool verwenden
# https://www.srihash.org/ — URL eingeben, Hash kopieren<!-- Script mit SRI-Hash -->
<script
src="https://cdn.example.com/lib.js"
integrity="sha384-oqVuAfXRKap7fdgcCY5uykM6+R9GqQ8K/..."
crossorigin="anonymous">
</script>
<!-- Stylesheet mit SRI-Hash -->
<link
rel="stylesheet"
href="https://cdn.example.com/styles.css"
integrity="sha384-AbCdEfGhIjKlMnOpQrStUvWxYz..."
crossorigin="anonymous">Auf dem Privat-Tarif ohne SSH nutzen Sie srihash.org: Geben Sie die URL der externen Ressource ein und kopieren Sie den generierten Hash. Alternativ können Sie den Hash lokal auf Ihrem Computer mit openssl berechnen, bevor Sie die Datei hochladen.
Verifizierung
SRI kann nicht per curl -sI geprüft werden — es ist ein HTML-Attribut, kein HTTP-Header. Prüfen Sie den HTML-Quellcode und die Browser DevTools Console auf SRI-Fehler.
1. Öffnen Sie die Seite und drücken Sie F12 (DevTools). 2. Wechseln Sie zur Console — SRI-Fehler erscheinen als rote Fehlermeldungen. 3. Prüfen Sie den HTML-Quellcode (Rechtsklick → Seitenquelltext): Jedes externe Script und Stylesheet sollte ein integrity="sha384-..."-Attribut haben. Erwartete Attribute im HTML: integrity="sha384-..." und crossorigin="anonymous" an jedem externen <script>- und <link>-Tag.
Häufige Fehler bei SRI auf All-Inkl
FTP-Client ändert Encoding — Hash stimmt nicht
Manche FTP-Clients (z.B. FileZilla im ASCII-Modus) ändern Zeilenumbrüche beim Upload. Das verändert den Hash der Datei. Lösung: FTP-Transfer immer im Binär-Modus durchführen. In FileZilla unter Übertragung → Übertragungstyp → Binär einstellen.
crossorigin="anonymous" fehlt
Für CDN-gehostete Ressourcen ist crossorigin="anonymous" Pflicht. Ohne dieses Attribut scheitert der SRI-Check — selbst wenn der Hash stimmt.
Kein npm/Build-Tool auf Shared Hosting
All-Inkl Shared Hosting bietet keine Node.js-Umgebung für automatische Hash-Generierung per Build-Pipeline. Generieren Sie Hashes lokal auf Ihrem Rechner mit openssl oder nutzen Sie srihash.org. Ab dem PrivatPlus-Tarif steht SSH mit openssl direkt auf dem Server zur Verfügung.
Compliance-Relevanz
SRI schützt die Integrität externer Ressourcen und ist zentral für PCI DSS 4.0 Compliance auf Zahlungsseiten.
Wie steht Ihre Domain bei Subresource Integrity?
Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 166 Prüfpunkte.