Caddy — Alle Security-Header-Anleitungen
Die einfachste Security-Header-Konfiguration aller Webserver. Caddyfile header-Direktive, automatisches HTTPS, minimale Syntax — von HSTS in einer Zeile bis zur vollständigen Konfiguration.
Security Headers in Caddy — minimale Konfiguration, maximale Sicherheit
Caddy ist der modernste Webserver mit dem Fokus auf Einfachheit und Sicherheit by Default — und hat die einfachste Syntax aller Webserver für Security Headers. Wo andere Webserver Seiten an Konfiguration brauchen, reichen bei Caddy oft wenige Zeilen. Automatisches HTTPS mit Let's Encrypt, automatische HTTP→HTTPS-Redirects und sichere TLS 1.3 Cipher Suites — alles ohne eine einzige Konfigurationszeile.
Security Headers werden über die header-Direktive im Caddyfile gesetzt. Die Syntax
ist die kürzeste aller Webserver: header Content-Security-Policy "default-src 'self'".
Pfadbasierte Header sind über handle und handle_path möglich.
Einschränkung: Caddy hat kein natives Modul für dynamische CSP-Nonces. Für Nonce-basierte CSP verwenden Sie Caddy als Reverse Proxy vor einer Anwendung die die Nonces generiert. Für statische Policies ist Caddy ideal. Der kostenlose Wolf-Agents Web Security Check zeigt Ihnen in Sekunden, welche Header Ihrer Caddy-Konfiguration noch fehlen — mit 166 Prüfpunkten und konkreter Note.
Caddy-Anleitungen nach Thema
Jede Anleitung erklärt einen Security Header Schritt für Schritt — mit Caddyfile-Konfiguration. Die Punkte zeigen den Einfluss auf Ihre Web Security Note.
Implementierungs-Architektur
Alle Security Headers in einem Caddyfile — kürzeste Konfiguration aller Stacks.
Content Security Policy (CSP)
CSP über header-Direktive — einfache Syntax, aber Nonces nur über Plugins möglich.
HTTP Strict Transport Security
HSTS über header-Direktive — Caddy erzwingt HTTPS automatisch.
Sichere Cookie-Konfiguration
Cookie-Header über header-Direktive manipulieren — Set-Cookie Flags anpassen.
Permissions Policy
Permissions-Policy über header-Direktive — eine Zeile im Caddyfile.
Clickjacking-Schutz
X-Frame-Options über header-Direktive — DENY oder SAMEORIGIN.
Referrer-Policy
Referrer-Policy über header-Direktive — strict-origin-when-cross-origin.
X-Content-Type-Options
nosniff über header-Direktive — buchstäblich eine Zeile.
Cross-Origin Headers
CORP, COEP und COOP über header-Direktive — Cross-Origin Isolation im Caddyfile.
Subresource Integrity
SRI-Header und CORS-Konfiguration über header-Direktive.
security.txt
security.txt über file_server und handle_path — einfachste Auslieferung.
TLS & Zertifikate
Caddy verwaltet TLS automatisch — Let's Encrypt und ZeroSSL out-of-the-box.
Cache-Control
Cache-Direktiven über header-Direktive — pfadbasiert mit handle und handle_path.
Reporting API
Report-To und Reporting-Endpoints über header-Direktive konfigurieren.
Clear-Site-Data
Clear-Site-Data auf dem Logout-Pfad über handle und header-Direktive.
Erweiterte Header
HTTPS-Redirect (automatisch!), WWW-Normalisierung über redir, Origin-Agent-Cluster.
In 3 Schritten zur sicheren Caddy-Konfiguration
Status prüfen
Starten Sie mit dem kostenlosen Web Security Check. 166 Prüfpunkte zeigen Ihnen in Sekunden, welche Header fehlen. Caddy hat dank automatischem HTTPS bereits einen Vorsprung — TLS und HSTS funktionieren out-of-the-box.
Basis-Header im Caddyfile
Fügen Sie die einfachen Header hinzu:
X-Content-Type-Options,
Referrer-Policy und
X-Frame-Options — drei Zeilen
im Caddyfile, sofort wirksam nach caddy reload.
CSP konfigurieren
Die Content Security Policy ist auch in Caddy der komplexeste Header. Starten Sie mit einer Report-Only-Policy und analysieren Sie die Violations bevor Sie auf Enforcement umstellen.
Nicht Caddy? Andere Anleitungen verfügbar
Webserver
CMS & Shop-Systeme
Frameworks & Sprachen
Hosting-Anbieter
Wie sicher ist Ihre Website?
Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 166 Prüfpunkte.
Häufig gestellte Fragen
Wo konfiguriere ich Security Headers in Caddy?
Im Caddyfile über die header-Direktive. Caddy verwendet eine einzige Konfigurationsdatei (Caddyfile) mit einer extrem einfachen Syntax. Header werden mit einer Zeile gesetzt: header Content-Security-Policy "default-src 'self'". Nach Änderungen: caddy reload zum Aktivieren.
Warum ist Caddy der einfachste Stack für Security Headers?
Caddy bietet automatisches HTTPS (Let's Encrypt/ZeroSSL) ohne Konfiguration, automatische HTTP→HTTPS-Redirects und eine minimalistische Syntax. Wo Nginx 5-10 Zeilen braucht, reicht bei Caddy oft eine einzige Zeile. Caddy ist der einzige Webserver bei dem HSTS und TLS praktisch "von Haus aus" funktionieren.
Unterstützt Caddy dynamische CSP-Nonces?
Nicht nativ. Caddy hat kein eingebautes Modul für dynamische Nonce-Generierung wie Nginx mit OpenResty. Für dynamische Nonces verwenden Sie Caddy als Reverse Proxy vor einer Anwendung (Express, Next.js) die die Nonces generiert. Für statische CSP-Policies ist Caddy hervorragend geeignet.
Muss ich TLS in Caddy manuell konfigurieren?
Nein — das ist der größte Vorteil von Caddy. Sobald Sie eine Domain im Caddyfile angeben, beschafft Caddy automatisch ein TLS-Zertifikat via ACME (Let's Encrypt oder ZeroSSL), aktiviert TLS 1.3 und konfiguriert sichere Cipher Suites. Null Konfiguration für TLS nötig.
Funktionieren die Anleitungen auch mit Caddy als Reverse Proxy?
Ja. Die header-Direktive funktioniert identisch ob Caddy als Webserver oder Reverse Proxy (mit reverse_proxy) eingesetzt wird. Bei Reverse-Proxy-Setups können Sie zusätzlich header_down verwenden um Header des Backends zu entfernen oder zu überschreiben.