Cloudflare — Alle Security-Header-Anleitungen
Schritt-für-Schritt-Anleitungen für jeden Security Header über Cloudflare Transform Rules und Workers. Kein Server-Zugriff nötig — alles über das Cloudflare Dashboard.
Security Headers über Cloudflare — kein Server-Zugriff nötig
Cloudflare sitzt als Reverse Proxy VOR Ihrem Server und bietet über Transform Rules Kontrolle über HTTP-Response-Header. Jeder Security Header lässt sich direkt im Cloudflare Dashboard konfigurieren — ohne Server-Zugriff, ohne Code, ohne Deployment.
Für fortgeschrittene Szenarien wie dynamische CSP-Nonces stehen Cloudflare Workers zur Verfügung. Die Anleitungen decken sowohl die UI-basierte Transform Rules Methode als auch Workers für dynamische Header ab.
Vorteil: Cloudflare-Header werden NACH den Origin-Server-Headern gesetzt und können diese überschreiben. Das ist ideal wenn Sie keinen Zugriff auf den Server haben — z.B. bei Shopify, Squarespace oder anderen gehosteten Plattformen.
Cloudflare-Anleitungen nach Thema
Jede Anleitung erklärt einen Security Header Schritt für Schritt — mit copy-paste-fertiger Transform Rules und Dashboard-Konfiguration. Die Punkte zeigen den Einfluss auf Ihre Web Security Note.
Implementierungs-Architektur
Alle Security Headers über Cloudflare Transform Rules — optimale Reihenfolge und Multi-Layer-Konflikte.
Content Security Policy (CSP)
XSS-Schutz durch kontrolliertes Script-Loading — Transform Rules und Workers für dynamische CSP.
HTTP Strict Transport Security
HTTPS erzwingen und SSL-Stripping verhindern — HSTS direkt im SSL/TLS Dashboard aktivieren.
Sichere Cookie-Konfiguration
HttpOnly, Secure, SameSite Flags — Transform Rules für Cookie-Header-Manipulation.
Permissions Policy
Browser-APIs wie Kamera und Mikrofon kontrollieren — Transform Rules für Permissions-Policy.
Clickjacking-Schutz
X-Frame-Options und frame-ancestors — Transform Rules für X-Frame-Options.
Referrer-Policy
Referrer-Informationen kontrollieren — Transform Rules für Referrer-Policy.
X-Content-Type-Options
MIME-Sniffing verhindern — Transform Rules für X-Content-Type-Options.
Cross-Origin Headers
CORP, COEP und COOP gegen Spectre-Angriffe — Cross-Origin Isolation über Transform Rules.
Subresource Integrity
Hash-Prüfung externer Scripts — SRI-Header über Transform Rules.
security.txt
Standardisierte Kontaktdatei für Sicherheitsforscher — security.txt über Workers oder Pages _redirects.
DNS-Sicherheit
DNSSEC aktivieren, CAA Records setzen, DANE konfigurieren — alles im Cloudflare DNS Dashboard.
TLS & Zertifikate
TLS 1.3 aktivieren, Cipher Suites konfigurieren, OCSP Stapling einrichten.
Cache-Control
Sicherheitsrelevante Cache-Direktiven — Browser TTL, Cache-Level und Cache Rules fuer sensible Seiten.
Reporting API
Reporting-Endpoints über Transform Rules und Workers.
Clear-Site-Data
Browser-Daten beim Logout sicher löschen — Worker für Clear-Site-Data auf Logout-Route.
Erweiterte Header
Always Use HTTPS, automatische WWW-Normalisierung und weitere Cloudflare-Einstellungen.
In 3 Schritten zur sicheren Cloudflare-Konfiguration
Status prüfen
Starten Sie mit dem kostenlosen Web Security Check. 166 Prüfpunkte zeigen Ihnen in Sekunden, welche Header fehlen und wo Handlungsbedarf besteht.
Einfache Header zuerst
Beginnen Sie mit HSTS, X-Content-Type-Options und Referrer-Policy — diese drei Header sind in 5 Minuten konfiguriert und bringen sofort eine deutlich bessere Note.
CSP als Krönung
Die Content Security Policy ist der wirksamste aber auch komplexeste Header. Unsere Anleitung führt Sie durch Report-Only-Modus, Violation-Analyse und Enforcement — Schritt für Schritt.
Nicht Cloudflare? Andere Anleitungen verfügbar
Webserver
CMS & Shop-Systeme
Frameworks & Sprachen
Hosting-Anbieter
Wie sicher ist Ihre Website?
Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 166 Prüfpunkte.
Häufig gestellte Fragen
Wo konfiguriere ich Security Headers in Cloudflare?
Im Cloudflare Dashboard unter Rules → Transform Rules → Modify Response Header. Erstellen Sie eine Regel, wählen Sie "Set dynamic" oder "Set static", und geben Sie den Header-Namen und -Wert ein. Änderungen sind sofort wirksam — kein Deployment nötig.
Warum werden meine Cloudflare-Header nicht angezeigt?
Häufigste Ursache: Die Transform Rule ist auf den falschen Hostname oder Pfad beschränkt. Prüfen Sie den Filter der Regel. Zweite Ursache: Der Origin-Server setzt denselben Header — Cloudflare fügt dann einen zweiten hinzu statt zu überschreiben. Lösung: "Remove" + "Set" statt nur "Set".
Brauche ich alle Security Headers gleichzeitig?
Nein. Beginnen Sie mit den einfachen Headern (HSTS, X-Content-Type-Options, Referrer-Policy — zusammen 5 Minuten) und arbeiten Sie sich zu CSP vor. Unsere Anleitungen sind nach Schwierigkeit sortiert.
Kann ich Security Headers testen ohne die Live-Site zu gefährden?
Ja. CSP bietet einen Report-Only-Modus der Violations protokolliert ohne zu blockieren. Für alle anderen Header: Testen Sie auf einer Staging-Umgebung oder nutzen Sie den kostenlosen Wolf-Agents Web Security Check zur Validierung.
Funktioniert Cloudflare auch vor Shopify oder Squarespace?
Ja. Das ist einer der größten Vorteile von Cloudflare — Sie können Security Headers für jede gehostete Plattform setzen, auch wenn die Plattform selbst keine Header-Kontrolle bietet. Einfach die DNS-Records auf Cloudflare zeigen und Transform Rules konfigurieren.