X-Content-Type-Options auf All-Inkl konfigurieren

MIME-Sniffing auf Ihrem All-Inkl Webhosting verhindern — eine Zeile in der .htaccess genügt. Einfachste Security-Header-Konfiguration überhaupt.

Header prüfen Plattform entdecken
All-Inkl · Schritt für Schritt
Von Wolf-Agents Security Team · Aktualisiert: 27. März 2026

X-Content-Type-Options auf All-Inkl

X-Content-Type-Options: nosniff verhindert, dass Browser den MIME-Typ einer Datei erraten (sogenanntes MIME-Sniffing). Ohne diesen Header könnte ein Browser eine als Text deklarierte Datei als JavaScript interpretieren und ausführen — ein potenzielles Sicherheitsrisiko. Im Wolf-Agents Web Security Check bringt dieser Header 10 von 166 Punkten.

Dieser Header ist der einfachste Security Header überhaupt — eine einzige Zeile in der .htaccess, kein Risiko für Seiteneffekte, kein Testen nötig. Es gibt nur einen gültigen Wert: nosniff. Bei All-Inkl funktioniert das auf allen Tarifen sofort.

Ausführliche Einführung in X-Content-Type-Options

X-Content-Type-Options auf All-Inkl implementieren

Fügen Sie eine Zeile zur .htaccess-Datei hinzu. Dieser Header hat keine Nebenwirkungen — er kann nicht die Funktionalität Ihrer Website beeinträchtigen.

.htaccess (empfohlen)
/www/htdocs/[username]/[domain]/.htaccess Produktiv 
# /www/htdocs/[username]/[domain]/.htaccess
<IfModule mod_headers.c>
    Header set X-Content-Type-Options "nosniff"
</IfModule>
PHP (Alternative)
index.php PHP 
// PHP-Alternative
<?php
header("X-Content-Type-Options: nosniff");
?>
Korrekte MIME-Types vorausgesetzt

Der Header funktioniert am besten, wenn Ihr Server korrekte MIME-Types sendet. Apache auf All-Inkl hat standardmäßig eine vollständige MIME-Type-Konfiguration. Prüfen Sie im Zweifelsfall, ob mod_mime aktiv ist — das ist bei All-Inkl immer der Fall.

Verifizierung

Laden Sie die .htaccess per FTP hoch und prüfen Sie den Header.

Terminal Verifizierung 
# X-Content-Type-Options-Header prüfen
curl -sI https://ihre-domain.de | grep -i x-content-type-options

# Erwartete Ausgabe:
# x-content-type-options: nosniff
Dieser Header ist ein Quick Win: Minimaler Aufwand, sofortige Wirkung, keine Nebenwirkungen. Setzen Sie ihn als erstes, zusammen mit Referrer-Policy.

Häufige Fehler bei X-Content-Type-Options auf All-Inkl

.htaccess greift nicht für Subdomain-Verzeichnis

Die .htaccess der Hauptdomain unter /www/htdocs/[user]/[domain]/ wirkt nicht auf Subdomains. Subdomains bei All-Inkl haben eigene Verzeichnisse. Erstellen Sie für jede Subdomain eine separate .htaccess mit dem X-Content-Type-Options: nosniff-Header.

Header doppelt gesetzt — .htaccess und PHP

Wenn sowohl die .htaccess als auch ein PHP-Script den Header setzen, kann er doppelt in der Response erscheinen. Verwenden Sie auf All-Inkl entweder die .htaccess-Methode (empfohlen) oder PHP — nicht beide gleichzeitig. Bei WordPress-Plugins, die eigene Header setzen, prüfen Sie mit curl -sI, ob der Header nur einmal vorkommt.

Falscher MIME-Type verursacht Probleme

Wenn eine CSS-Datei mit text/plain statt text/css ausgeliefert wird, blockiert nosniff das Laden. Lösung: Prüfen Sie die MIME-Type-Konfiguration. Bei All-Inkl sind die Standard-MIME-Types korrekt konfiguriert — das Problem tritt nur bei manuell gesetzten falschen Types auf.

Compliance-Relevanz

MIME-Sniffing-Prävention ist eine grundlegende Sicherheitsmaßnahme gegen Content-Type-Confusion-Angriffe.

NIS2Art. 21(e) — Sicherheit bei Entwicklung und Wartung von Informationssystemen
BSIAPP.3.1 — Webserver-Absicherung mit Security Headern
OWASPSecure Headers Project — X-Content-Type-Options als Pflicht-Header

Auch verfügbar für:

NginxApacheWordPressNext.jsCloudflareExpressCaddyShopifyTYPO3HetznerLaravelDrupalIONOSShopwareContaoStratoJoomlaPHPSpring Boot

Wie steht Ihre Domain bei X-Content-Type-Options?

Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 166 Prüfpunkte.

Web Security Check starten Monitoring ab 199 EUR/Mo