Nginx — Alle Security-Header-Anleitungen
Schritt-für-Schritt-Anleitungen für jeden Security Header in Ihrer nginx.conf. Copy-paste-fertige Konfigurationen, von HSTS in 5 Minuten bis CSP mit Nonces.
Security Headers in Nginx — volle Kontrolle über nginx.conf
Nginx ist der meistgenutzte Webserver weltweit und bietet über die add_header Direktive
volle Kontrolle über HTTP-Response-Header. Jeder Security Header lässt sich direkt in der
nginx.conf konfigurieren — ohne Plugins, ohne Drittanbieter-Module, ohne Limitierungen.
Für fortgeschrittene Szenarien wie dynamische CSP-Nonces steht das OpenResty/Lua-Modul zur Verfügung. Die Anleitungen auf dieser Seite decken sowohl die Basis-Konfiguration als auch erweiterte Setups ab.
Wichtig: Nginx vererbt add_header Direktiven nicht in innere
Location-Blöcke wenn diese eigene add_header Direktiven haben. Alle Header müssen
im innersten Block definiert werden. Unsere Anleitungen berücksichtigen dieses Verhalten.
Nginx-Anleitungen nach Thema
Jede Anleitung erklärt einen Security Header Schritt für Schritt — mit copy-paste-fertiger nginx.conf Konfiguration. Die Punkte zeigen den Einfluss auf Ihre Web Security Note.
Implementierungs-Architektur
Alle Security Headers in einer konsolidierten nginx.conf — optimale Reihenfolge und Multi-Layer-Konflikte.
Content Security Policy (CSP)
XSS-Schutz durch kontrolliertes Script-Loading — nginx.conf add_header mit Nonces via OpenResty.
HTTP Strict Transport Security
HTTPS erzwingen und SSL-Stripping verhindern — add_header Strict-Transport-Security mit Preload.
Sichere Cookie-Konfiguration
HttpOnly, Secure, SameSite Flags — proxy_cookie_flags Direktive für Upstream-Cookies.
Permissions Policy
Browser-APIs wie Kamera und Mikrofon kontrollieren — add_header Permissions-Policy.
Clickjacking-Schutz
X-Frame-Options und frame-ancestors — add_header X-Frame-Options DENY.
Referrer-Policy
Referrer-Informationen kontrollieren — add_header Referrer-Policy strict-origin-when-cross-origin.
X-Content-Type-Options
MIME-Sniffing verhindern — add_header X-Content-Type-Options nosniff.
Cross-Origin Headers
CORP, COEP und COOP gegen Spectre-Angriffe — Cross-Origin Isolation in nginx.conf.
Subresource Integrity
Hash-Prüfung externer Scripts — serverseitige SRI-Header-Konfiguration.
security.txt
Standardisierte Kontaktdatei für Sicherheitsforscher — /.well-known/security.txt via Location-Block.
TLS & Zertifikate
TLS 1.3 aktivieren, Cipher Suites konfigurieren, OCSP Stapling einrichten.
Cache-Control
Sicherheitsrelevante Cache-Direktiven — no-store für sensible Seiten, CDN-Steuerung.
Reporting API
Report-To und Reporting-Endpoints für automatische Sicherheitsberichte — plus NEL.
Clear-Site-Data
Browser-Daten beim Logout sicher löschen — add_header auf dem Logout-Endpoint.
Erweiterte Header
Origin-Agent-Cluster, HTTPS-Redirects, WWW-Normalisierung und weitere Infrastruktur-Header.
In 3 Schritten zur sicheren Nginx-Konfiguration
Status prüfen
Starten Sie mit dem kostenlosen Web Security Check. 166 Prüfpunkte zeigen Ihnen in Sekunden, welche Header fehlen und wo Handlungsbedarf besteht.
Einfache Header zuerst
Beginnen Sie mit HSTS, X-Content-Type-Options und Referrer-Policy — diese drei Header sind in 5 Minuten konfiguriert und bringen sofort eine deutlich bessere Note.
CSP als Krönung
Die Content Security Policy ist der wirksamste aber auch komplexeste Header. Unsere Anleitung führt Sie durch Report-Only-Modus, Violation-Analyse und Enforcement — Schritt für Schritt.
Nicht Nginx? Andere Anleitungen verfügbar
Webserver
CMS & Shop-Systeme
Frameworks & Sprachen
Hosting-Anbieter
Wie sicher ist Ihre Website?
Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 166 Prüfpunkte.
Häufig gestellte Fragen
Wo konfiguriere ich Security Headers in Nginx?
In der Server- oder Location-Block Ihrer nginx.conf (z.B. /etc/nginx/sites-available/ihre-domain.conf). Verwenden Sie die add_header Direktive. Nach jeder Änderung: sudo nginx -t zum Testen und sudo systemctl reload nginx zum Aktivieren.
Warum werden meine Nginx-Header nicht angezeigt?
Häufigste Ursache: add_header in einem inneren Location-Block überschreibt alle Header aus dem Server-Block. Nginx vererbt add_header nur wenn der innere Block KEINE eigenen add_header Direktiven hat. Lösung: Alle Header im innersten Block wiederholen oder die ngx_http_headers_more_module Extension nutzen.
Brauche ich alle Security Headers gleichzeitig?
Nein. Beginnen Sie mit den einfachen Headern (HSTS, X-Content-Type-Options, Referrer-Policy — zusammen 5 Minuten) und arbeiten Sie sich zu CSP vor. Unsere Anleitungen sind nach Schwierigkeit sortiert.
Kann ich Security Headers testen ohne die Live-Site zu gefährden?
Ja. CSP bietet einen Report-Only-Modus der Violations protokolliert ohne zu blockieren. Für alle anderen Header: Testen Sie auf einer Staging-Umgebung oder nutzen Sie den kostenlosen Wolf-Agents Web Security Check zur Validierung.
Funktionieren die Anleitungen auch mit Nginx als Reverse Proxy?
Ja. Die add_header Direktive funktioniert unabhängig davon ob Nginx als Webserver oder Reverse Proxy eingesetzt wird. Bei Reverse-Proxy-Setups empfehlen wir zusätzlich proxy_hide_header um Header des Backends zu entfernen und eigene zu setzen.