X-Content-Type-Options für Bunny CDN konfigurieren

MIME-Sniffing per Edge Rule verhindern — nosniff für alle CDN-Responses aktivieren und korrekte Content-Type-Zuordnung sicherstellen.

Header prüfen Plattform entdecken
Bunny CDN · Schritt für Schritt
Von Wolf-Agents Security Team · Aktualisiert: 30. März 2026

X-Content-Type-Options auf Bunny CDN

X-Content-Type-Options: nosniff verhindert, dass Browser den MIME-Type einer Ressource erraten (MIME-Sniffing). Ohne diesen Header kann ein Browser eine als text/plain deklarierte Datei als JavaScript interpretieren — ein klassischer XSS-Angriffsvektor. Der Header ist mit 10 von 166 Punkten ein relevanter Faktor im Wolf-Agents Web Security Check.

Auf Bunny CDN ist dieser Header besonders wichtig, da das CDN Dateien basierend auf der Dateiendung ausliefert. Bunny CDN setzt korrekte Content-Types für bekannte Dateiendungen automatisch — bei unbekannten Endungen oder falsch konfigurierten Origins kann nosniff Fehlinterpretationen verhindern. Wolf-Agents empfiehlt, nosniff auf allen Pull Zones zu aktivieren.

Ausführliche Einführung in X-Content-Type-Options

1 Schritt 1 von 3

nosniff per Edge Rule setzen

Legen Sie eine Edge Rule mit dem Header X-Content-Type-Options: nosniff an. Die Condition Match All ist hier ideal — nosniff sollte für alle Ressourcentypen gelten, nicht nur für HTML. Das verhindert, dass ein als Bild hochgeladenes Script versehentlich ausgeführt wird.

Bunny Dashboard → Edge Rules Dashboard 
# Bunny Dashboard → Pull Zone → Edge Rules → Add Edge Rule

Condition:    Match All
Action:       Set Response Header
Header Name:  X-Content-Type-Options
Header Value: nosniff

# Gilt für alle Responses — HTML, JS, CSS, Bilder, Fonts
# nosniff verhindert MIME-Type-Sniffing im Browser
Bunny CDN setzt Content-Types automatisch

Bunny CDN erkennt Dateiendungen und setzt den passenden Content-Type. Bei Storage Zones werden die MIME-Types serverseitig zugeordnet. Bei Origin Pull Zones leitet Bunny den Content-Type des Origins durch. In beiden Fällen schützt nosniff vor Fehlinterpretationen bei unbekannten Dateitypen.

2 Schritt 2 von 3

nosniff per Bunny API automatisieren

Für automatisierte Deployments erstellen Sie die Edge Rule per API. Dieser Header ist einer der einfachsten Security Headers — er hat nur einen gültigen Wert (nosniff) und verursacht keine Kompatibilitätsprobleme. Aktivieren Sie ihn auf jeder neuen Pull Zone als Teil Ihrer Baseline.

Bunny API (cURL) API 
# Bunny API — X-Content-Type-Options Edge Rule erstellen
curl -X POST https://api.bunny.net/pullzone/{pullZoneId}/edgerules \
  -H "AccessKey: YOUR_API_KEY" \
  -H "Content-Type: application/json" \
  -d '{
  "ActionType": 15,
  "ActionParameter1": "X-Content-Type-Options",
  "ActionParameter2": "nosniff",
  "Triggers": [{
    "Type": 0,
    "PatternMatchingType": 0,
    "PatternMatches": ["*"]
  }],
  "TriggerMatchingType": 0,
  "Description": "X-Content-Type-Options nosniff",
  "Enabled": true
}'
Wenn Ihr Origin falsche Content-Types liefert (z.B. text/plain für JavaScript), blockiert nosniff das Script im Browser. Prüfen Sie die Content-Types Ihrer Origin-Responses vor der Aktivierung.
3 Schritt 3 von 3

Verifizieren und MIME-Types prüfen

Prüfen Sie den nosniff-Header und die Content-Type-Zuordnung für verschiedene Dateitypen. Testen Sie insbesondere JavaScript, CSS und Font-Dateien — diese sind am häufigsten von MIME-Type-Problemen betroffen.

Terminal Verifizieren 
# X-Content-Type-Options Header prüfen
curl -sI https://ihre-domain.b-cdn.net/style.css | grep -i x-content-type-options

# Erwartete Ausgabe:
x-content-type-options: nosniff

# Content-Type eines Assets prüfen
curl -sI https://ihre-domain.b-cdn.net/script.js | grep -i content-type

# Erwartete Ausgabe:
content-type: application/javascript

# Wenn Content-Type fehlt oder falsch ist,
# blockiert nosniff die Ressource im Browser

Häufige Fehler

Fehlende Content-Types bei Storage Zone

Wenn Sie Dateien mit unbekannten Endungen in eine Bunny Storage Zone hochladen, kann der Content-Type fehlen oder auf application/octet-stream gesetzt werden. Mit nosniff blockiert der Browser diese Dateien. Setzen Sie den korrekten Content-Type beim Upload per API-Header.

JSON-APIs ohne korrekten Content-Type

Wenn Ihr Origin JSON mit text/html statt application/json ausliefert, funktioniert die API trotzdem — aber mit nosniff können Browser-basierte Clients die Antwort möglicherweise anders interpretieren. Stellen Sie korrekte Content-Types am Origin sicher.

Fonts ohne CORS blockiert

nosniff in Kombination mit fehlenden CORS-Headern kann Font-Dateien blockieren, wenn sie von einer anderen Domain geladen werden. Konfigurieren Sie Access-Control-Allow-Origin für Font-Dateien per separater Edge Rule mit URL-Pattern-Match.

Compliance-Relevanz

X-Content-Type-Options ist eine grundlegende Sicherheitsmaßnahme. OWASP empfiehlt nosniff als Standard für alle Responses. BSI IT-Grundschutz fordert die korrekte Konfiguration von HTTP-Response-Headern. PCI DSS 4.0 verlangt Schutz vor XSS-Angriffen — nosniff verhindert einen häufigen Angriffsvektor. NIS2 fordert technische Maßnahmen zur Angriffsprävention. Da nosniff keine Kompatibilitätsprobleme verursacht, gibt es keinen Grund, diesen Header nicht zu setzen. Der Wolf-Agents Web Security Check vergibt bis zu 10 Punkte für korrekt konfiguriertes nosniff.

Auch verfügbar für:

NginxApacheWordPressNext.jsCloudflareExpressCaddyShopifyTYPO3HetznerLaravelDrupalIONOSAll-InklShopwareContaoStratoJoomlaPHPSpring BootNuxtVercelLiteSpeedAWS CloudFrontAstro

Wie steht Ihre Domain bei X-Content-Type-Options?

Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 166 Prüfpunkte.

Web Security Check starten Monitoring ab 199 EUR/Mo