Shopify — Security Headers: Was fehlt und wie Sie es lösen

Shopify-Stores erreichen typischerweise Note D bis C bei Security Headers. Diese Analyse zeigt was Shopify automatisch setzt, was fehlt, und welche 4 Wege es gibt, Ihren Store abzusichern.

Shopify-Store scannen Plattform entdecken
Shopify · Ehrliche Analyse
Von Wolf-Agents Security Team · Aktualisiert: 26. März 2026
Diagnose

Was Shopify automatisch setzt — und was fehlt

Shopify ist eine gehostete E-Commerce-Plattform — Sie haben keinen Zugriff auf HTTP-Response-Header. Shopify setzt einige Security Headers automatisch, aber die Konfiguration ist unvollständig und nicht anpassbar. Das ist ein langjähriger Feature-Request der Community, bisher ohne Lösung von Shopify.

Der kostenlose Wolf-Agents Web Security Check prüft alle 166 Punkte — auch auf Shopify-Stores. Typisches Ergebnis: Note D bis C bei Standard-Konfiguration. Die ehrliche Realität: Ohne externe Lösung wie Cloudflare O2O können Shopify-Händler ihre Security-Note nicht wesentlich verbessern.

Automatisch gesetzt

  • X-Frame-Options: DENY
  • X-Content-Type-Options: nosniff
  • HSTS: max-age=7889238 (nur 91 Tage — zu schwach)
  • CSP: frame-ancestors 'none' (minimal, kein script-src)

Fehlt komplett

  • Referrer-Policy — kein Schutz der URL-Parameter
  • Permissions-Policy — keine Browser-API-Restriktionen
  • Vollständige CSP — kein script-src, style-src, img-src
  • HSTS Preload — unmöglich mit nur 91 Tagen max-age

Können Händler eigene Header setzen? Nein. Weder über das Admin-Panel, über Theme-Settings, über die Shopify API, noch über Shopify-Apps. Es gibt keine Shopify-App die HTTP-Response-Header modifizieren kann — Apps haben keinen Zugriff auf die Server-Konfiguration.

4 Lösungswege

Vom Status Quo zu Note A+ — je nach technischem Aufwand

Nicht jeder Shopify-Händler muss auf Hydrogen migrieren. Es gibt vier Wege zur besseren Absicherung — von „ein Klick in Cloudflare" bis „eigenes Hosting".

D–C

Standard Shopify

Kein Aufwand

Keine Header-Kontrolle. Shopify setzt die Defaults. Referrer-Policy und Permissions-Policy fehlen. HSTS ist zu schwach für Preload.

Ist-Zustand
B–A

+ Cloudflare O2O

~30 Minuten Setup

Cloudflare als Reverse Proxy vor Shopify. Transform Rules ergänzen fehlende Header: Referrer-Policy, Permissions-Policy, vollständige CSP. Kein Code nötig — alles über das Dashboard.

Empfohlen
D–B

Hydrogen auf Oxygen

Migrations-Aufwand

Headless Shopify mit dem Hydrogen React-Framework. Volle CSP-Kontrolle über createContentSecurityPolicy(). Aber: Oxygen überschreibt den HSTS-Header — kein Preload möglich.

Für Entwickler
A–A+

Hydrogen Self-Hosted

Höchster Aufwand

Hydrogen auf eigenem Hosting (Vercel, Fly.io, Cloudflare Workers). Volle Kontrolle über ALLE Security Headers. HSTS Preload möglich. Note A+ erreichbar.

Maximum
Empfohlen

Cloudflare O2O — Security Headers ohne Code

Cloudflare O2O (Orange-to-Orange) ermöglicht es, Ihre eigene Cloudflare-Zone vor den Shopify-Servern zu schalten — obwohl Shopify selbst bereits hinter Cloudflare läuft. Über Transform Rules können Sie dann alle fehlenden Security Headers ergänzen, ohne eine Zeile Code zu schreiben.

1

DNS zu Cloudflare umziehen

Nameserver Ihrer Domain auf Cloudflare setzen. In Cloudflare: CNAME-Record @shops.myshopify.com mit aktiviertem Proxy (Orange Cloud). In Shopify Admin: Custom Domain hinzufügen.

2

Managed Transform aktivieren

Cloudflare Dashboard → Rules → Transform Rules → Managed Transforms → „Add security headers" aktivieren. Ein Klick fügt X-Content-Type-Options, X-Frame-Options und Referrer-Policy hinzu.

3

Individuelle Header ergänzen

Rules → Transform Rules → Response Header Modification → Neue Regel erstellen. Permissions-Policy und eine vollständige CSP als „Set static" Header hinzufügen. Für die detaillierte CSP-Konfiguration für Shopify siehe unsere Schritt-für-Schritt-Anleitung.

4

Ergebnis verifizieren

Mit dem Wolf-Agents Web Security Check das Ergebnis prüfen. Erwartete Verbesserung: von Note D–C auf Note B–A. Die 166 Prüfpunkte zeigen genau welche Header jetzt korrekt gesetzt sind.

Compliance

Shopify, PCI DSS und NIS2 — was Händler wissen müssen

PCI DSS Checkout

Shopify ist PCI DSS Level 1 zertifiziert. Der Checkout nutzt Sandboxing, CSP mit Nonces und SRI — Shopify übernimmt die Checkout-Compliance vollständig. Händler müssen für den Checkout nichts tun.

Store-Frontend

Die Security Headers Ihres Store-Frontends sind nicht Teil der PCI-Checkout-Zertifizierung. Fehlende Headers wie Referrer-Policy und Permissions-Policy betreffen die Produktseiten — nicht den Checkout. Hier sind Sie als Händler verantwortlich.

NIS2 für EU-Händler

NIS2 (seit 06.12.2025 in Kraft) betrifft E-Commerce ab 50 Mitarbeitern oder €10 Mio. Umsatz. Art. 21 fordert den „Stand der Technik" — fehlende Security Headers können bei einem NIS2-Audit problematisch sein. Cloudflare O2O ist die pragmatische Lösung.

Cookie-Sicherheit: Shopify setzt den Session-Cookie (_shopify_essential) korrekt mit HttpOnly, Secure und SameSite=Lax. Aber: Nicht-essentielle Cookies wie localization und cart_currency fehlen diese Flags. Händler können Cookie-Attribute nicht beeinflussen.

Für Entwickler

Shopify Hydrogen — volle Header-Kontrolle für Headless-Stores

Shopify Hydrogen ist ein React-Framework basierend auf Remix für individuelle Shopify-Storefronts. Es bietet programmatische Header-Kontrolle über entry.server.ts — inklusive einer dedizierten createContentSecurityPolicy() Funktion für CSP mit automatischer Nonce-Generierung.

Auf Oxygen (Shopifys Edge-Hosting): Volle CSP-Kontrolle, aber HSTS wird von Oxygen überschrieben (nur max-age=31536000, ohne includeSubDomains und preload). Checkout-Workers sind auf /checkout deaktiviert.

Self-Hosted (Vercel, Fly.io, Cloudflare Workers): Volle Kontrolle über ALLE Security Headers. HSTS Preload möglich. Note A+ erreichbar. Hosting-Kosten kommen zusätzlich zum Shopify-Plan.

Anleitungen

Shopify-spezifische Anleitungen

35 Pkt Advanced

Content Security Policy (CSP) für Shopify

Die einzige Stack-spezifische Anleitung — CSP via Meta-Tag-Workaround, Liquid-Integration und Cloudflare-Proxy als empfohlene Lösung. Schritt für Schritt erklärt.

Für alle anderen Security Headers (HSTS, Referrer-Policy, Permissions-Policy etc.) gibt es auf Shopify keine individuelle Konfigurationsmöglichkeit. Die Lösung ist Cloudflare O2O — dort können Sie alle Header über Transform Rules konfigurieren.

Andere Stacks

Nicht Shopify? Andere Anleitungen verfügbar

Webserver

Nginx Alle Anleitungen → Apache Alle Anleitungen → LiteSpeed Alle Anleitungen → Caddy Alle Anleitungen → IIS Alle Anleitungen →

CMS & Shop-Systeme

WordPress Alle Anleitungen → TYPO3 Alle Anleitungen → Drupal Alle Anleitungen → Joomla Alle Anleitungen → Contao Alle Anleitungen → Shopware Alle Anleitungen →

Frameworks & Sprachen

Next.js Alle Anleitungen → Nuxt Alle Anleitungen → Express Alle Anleitungen → Laravel Alle Anleitungen → Spring Boot Alle Anleitungen → PHP Alle Anleitungen → Astro Alle Anleitungen →

Hosting-Anbieter

Hetzner Alle Anleitungen → IONOS Alle Anleitungen → Strato Alle Anleitungen → All-Inkl Alle Anleitungen →

CDN & Edge-Plattformen

Cloudflare Alle Anleitungen → Vercel Alle Anleitungen → Netlify Alle Anleitungen → AWS CloudFront Alle Anleitungen → Bunny CDN Alle Anleitungen →

Wie sicher ist Ihre Website?

Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 166 Prüfpunkte.

Web Security Check starten Monitoring ab 199 EUR/Mo

Häufig gestellte Fragen

Kann ich in Shopify eigene Security Headers setzen?

Nein. Native Shopify-Stores bieten keine Möglichkeit, HTTP-Response-Header zu konfigurieren — weder über das Admin-Panel, über Theme-Settings, noch über die API. Dies ist ein langjähriger Feature-Request der Community, bisher ohne Lösung von Shopify. Der empfohlene Workaround ist Cloudflare O2O (Orange-to-Orange) als Reverse Proxy.

Welche Note bekommt ein Standard-Shopify-Store bei Security Headers?

Typischerweise Note D bis C. Shopify setzt automatisch X-Frame-Options, X-Content-Type-Options und eine minimale CSP (nur frame-ancestors). Es fehlen aber Referrer-Policy, Permissions-Policy, eine vollständige CSP, und der HSTS-Header hat nur 91 Tage max-age (zu schwach für die Preload-Liste). Der Wolf-Agents Web Security Check zeigt genau welche Header fehlen.

Was ist Cloudflare O2O und wie hilft es meinem Shopify-Store?

Cloudflare O2O (Orange-to-Orange) ermöglicht es, Ihre eigene Cloudflare-Zone VOR den Shopify-Servern zu schalten — obwohl Shopify selbst bereits hinter Cloudflare läuft. Über Transform Rules können Sie dann fehlende Security Headers wie Referrer-Policy, Permissions-Policy und eine vollständige CSP hinzufügen. Das Setup: DNS bei Cloudflare verwalten, CNAME auf shops.myshopify.com mit aktiviertem Proxy (Orange Cloud).

Was ist Shopify Hydrogen und bietet es mehr Header-Kontrolle?

Shopify Hydrogen ist ein headless React-Framework (basierend auf Remix) für individuelle Shopify-Storefronts. Auf Oxygen (Shopifys Edge-Hosting) bietet Hydrogen volle CSP-Kontrolle über createContentSecurityPolicy(), aber HSTS wird von Oxygen überschrieben. Self-Hosted (z.B. auf Vercel oder Fly.io) bietet volle Kontrolle über ALLE Security Headers — Note A+ ist möglich.

Ist mein Shopify-Checkout PCI DSS-konform?

Ja. Shopify ist PCI DSS Level 1 zertifiziert (höchste Stufe). Der Checkout nutzt Sandboxing, CSP mit Nonces und Subresource Integrity — Shopify übernimmt die vollständige Checkout-Compliance. ABER: Die Security Headers Ihres Store-Frontends (das was der Wolf-Agents Scanner prüft) sind ein separates Thema und nicht Teil der PCI-Checkout-Zertifizierung.

Ist ein Shopify-Store NIS2-konform?

Nicht automatisch. NIS2 (seit 06.12.2025 in Kraft) betrifft E-Commerce-Unternehmen ab 50 Mitarbeitern oder 10 Mio. EUR Umsatz. Art. 21 fordert den "Stand der Technik" für IT-Sicherheit — fehlende Security Headers könnten bei einem NIS2-Audit problematisch sein. Shopify als SaaS-Anbieter fällt selbst unter NIS2 als "Digital Infrastructure Provider", aber Händler müssen ihre eigene Compliance sicherstellen.

Welche Shopify-Apps können Security Headers setzen?

Keine. Shopify-Apps haben keinen Zugriff auf die Server-Konfiguration und können daher keine HTTP-Response-Header modifizieren. Verfügbare Security-Apps wie SecureShop Scanner oder Pandectes fokussieren sich auf Theme-Scanning, Cookie-Consent und GDPR-Compliance — nicht auf Security Headers. Für Header-Kontrolle ist Cloudflare O2O oder eine Hydrogen-Migration erforderlich.