Netlify — Alle Security-Header-Anleitungen
Schritt-für-Schritt-Anleitungen für jeden Security Header auf Netlify. _headers, netlify.toml und Edge Functions — von HSTS in 5 Minuten bis CSP mit dynamischen Nonces.
Security Headers auf Netlify — drei Konfigurationswege
Netlify bietet als fuehrende JAMstack-Plattform drei Wege zur Header-Konfiguration: Die _headers-Datei im Publish-Verzeichnis für schnelle Plaintext-Konfigurationen, netlify.toml im Repo-Root für versionierte TOML-basierte Header-Regeln, und Edge Functions (Deno-Runtime) für dynamische Header wie CSP-Nonces.
Netlify erzwingt HTTPS automatisch für alle Deployments und stellt kostenlose Let's Encrypt Zertifikate bereit. Security Headers müssen Sie jedoch manuell konfigurieren. Unsere Anleitungen zeigen alle drei Wege — von einfachen statischen Headern bis zu dynamischen Nonces über Edge Functions.
Wichtig: Die Prioritätsreihenfolge ist entscheidend: netlify.toml
überschreibt _headers, und Edge Functions überschreiben beide. Wenn Header nicht
greifen, prüfen Sie zuerst auf Konflikte zwischen diesen drei Konfigurationswegen. Der kostenlose
Wolf-Agents Web Security Check zeigt Ihnen in Sekunden,
welche Header fehlen.
Netlify-Anleitungen nach Thema
Jede Anleitung erklaert einen Security Header Schritt für Schritt — mit Netlify-spezifischen Konfigurationen für _headers, netlify.toml und Edge Functions. Die Punkte zeigen den Einfluss auf Ihre Web Security Note.
Implementierungs-Architektur
Alle Security Headers zentral über _headers, netlify.toml und Edge Functions — konsolidierte Architektur für Netlify-Deployments.
Content Security Policy (CSP)
XSS-Schutz mit _headers für statische Policies oder Edge Functions (Deno) für dynamische Nonces pro Request.
HTTP Strict Transport Security
HTTPS erzwingen per _headers oder netlify.toml — Netlify erzwingt HTTPS automatisch, HSTS-Header für Preload manuell setzen.
Sichere Cookie-Konfiguration
Cookie-Attribute per Edge Functions steuern — Secure, HttpOnly und SameSite für alle Set-Cookie-Header.
Permissions Policy
Browser-APIs einschraenken per _headers oder netlify.toml — Kamera, Mikrofon, Geolocation sperren.
Clickjacking-Schutz
X-Frame-Options und frame-ancestors per _headers — Deploy Previews beachten.
Referrer-Policy
Referrer-Informationen kontrollieren per _headers oder netlify.toml — gilt für alle Deployment-Umgebungen.
X-Content-Type-Options
MIME-Sniffing verhindern per _headers — einfacher One-Liner für alle Responses.
Cross-Origin Headers
CORP, COEP und COOP gegen Spectre-Angriffe — _headers mit Kompatibilität zu Third-Party-Embeds.
Subresource Integrity
Hash-Prüfung externer Scripts — Framework-seitig oder per Build-Pipeline generieren. Netlify Large Media beachten.
security.txt
Kontaktdatei unter public/.well-known/ — Netlify serviert statische Dateien aus dem Publish-Verzeichnis.
TLS & Zertifikate
TLS-Konfiguration auf Netlify — automatische Let's Encrypt Zertifikate und TLS 1.2+ Standard.
Cache-Control
Sicherheitsrelevante Cache-Direktiven per _headers — Netlify Edge Caching und Immutable Assets beachten.
Reporting API
Report-To und Reporting-Endpoints per _headers oder Edge Functions — CSP-Violations dauerhaft erfassen.
Clear-Site-Data
Browser-Daten beim Logout löschen über Netlify Functions oder Edge Functions.
Erweiterte Header
Origin-Agent-Cluster, HTTPS-Redirects, Resource Isolation Policy und X-DNS-Prefetch-Control.
In 3 Schritten zur sicheren Netlify-Konfiguration
Status prüfen
Starten Sie mit dem kostenlosen Web Security Check. 166 Prüfpunkte zeigen Ihnen in Sekunden, welche Header fehlen und wo Handlungsbedarf besteht.
netlify.toml anlegen
Erstellen Sie eine zentrale Header-Konfiguration
in Ihrer netlify.toml. Diese setzt HSTS,
X-Content-Type-Options und Referrer-Policy in einer Datei — versioniert und reproduzierbar.
CSP über Edge Functions
Die Content Security Policy konfigurieren
Sie für statische Sites per _headers oder für dynamische Nonces ueber
Edge Functions (Deno-Runtime). Unsere Anleitung fuehrt Sie Schritt für Schritt.
Nicht Netlify? Andere Anleitungen verfügbar
Webserver
CMS & Shop-Systeme
Frameworks & Sprachen
Hosting-Anbieter
Wie sicher ist Ihre Website?
Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 166 Prüfpunkte.
Häufig gestellte Fragen
Wo konfiguriere ich Security Headers auf Netlify?
Es gibt drei Wege: Per _headers-Datei im Build-Output-Verzeichnis (plain text), über [[headers]] in der netlify.toml (TOML-Syntax), oder per Edge Functions (Deno-Runtime) für dynamische Header. netlify.toml hat Vorrang vor _headers, Edge Functions überschreiben beide.
Was ist der Unterschied zwischen _headers und netlify.toml?
Die _headers-Datei nutzt eine einfache Plaintext-Syntax und liegt im Publish-Verzeichnis. netlify.toml verwendet TOML-Syntax und liegt im Repo-Root. Bei Konflikten gewinnt netlify.toml. Wir empfehlen netlify.toml für versionierte Konfigurationen und _headers für schnelle Anpassungen.
Kann ich dynamische Header wie CSP-Nonces auf Netlify setzen?
Ja, über Edge Functions. Netlify Edge Functions laufen in einer Deno-Runtime am Edge und können pro Request dynamische Header generieren — ideal für CSP-Nonces. Statische Header per _headers oder netlify.toml unterstützen keine Nonces.
Gilt HSTS auch für Deploy Previews?
Deploy Previews laufen unter deploy-preview-*.netlify.app. HSTS mit includeSubDomains gilt dort ebenfalls — das ist gewünscht. Aber HSTS Preload sollten Sie erst nach gruendlichem Test aktivieren, da alle Subdomains HTTPS unterstützen müssen.
Warum werden meine _headers ignoriert?
Die _headers-Datei muss im Build-Output-Verzeichnis (Publish Directory) liegen, nicht im Repo-Root. Bei Frameworks wie Next.js oder Gatsby muss die Datei nach dem Build im Output-Ordner (z.B. out/ oder public/) landen. Prüfen Sie außerdem, ob netlify.toml dieselben Header überschreibt.