X-Content-Type-Options auf IONOS konfigurieren

MIME-Sniffing auf Ihrem IONOS Webhosting verhindern — ein Einzeiler in der .htaccess für sofort mehr Sicherheit.

Header prüfen Plattform entdecken
IONOS · Schritt für Schritt
Von Wolf-Agents Security Team · Aktualisiert: 27. März 2026

X-Content-Type-Options auf IONOS

X-Content-Type-Options: nosniff verhindert, dass Browser den MIME-Type einer Ressource erraten (MIME-Sniffing). Ohne diesen Header kann ein Browser eine als Bild getarnte JavaScript-Datei als Script ausführen — ein klassischer Angriffsvektor. Der Header ist mit 10 von 166 Punkten im Wolf-Agents Web Security Check vertreten.

Auf IONOS Shared Hosting ist dies der einfachste Security Header: Ein Einzeiler in der .htaccess genügt. Es gibt nur einen gültigen Wert (nosniff), keine Varianten und keine Nebenwirkungen. Dieser Header sollte auf jeder Website gesetzt sein — egal ob Shared Hosting, WordPress Hosting oder vServer.

Der Wolf-Agents Web Security Check prüft den X-Content-Type-Options-Header auf jeder gescannten Seite. Da die Konfiguration auf IONOS in einer Minute erledigt ist, ist dieser Header der einfachste Weg, die Scan-Bewertung Ihrer Website sofort zu verbessern. Laden Sie die .htaccess per FTP in /www/htdocs/ hoch.

Ausführliche Einführung in X-Content-Type-Options

X-Content-Type-Options auf IONOS implementieren

X-Content-Type-Options ist auf allen drei IONOS-Tarifen konfigurierbar: Auf Shared Hosting und WordPress Hosting per .htaccess oder PHP, auf einem vServer zusätzlich direkt in der Apache- oder Nginx-Konfiguration. Die .htaccess-Methode ist die empfohlene Variante, da sie alle Dateitypen abdeckt — auch statische Assets wie CSS, JavaScript und Bilder.

Fügen Sie den Header in Ihre .htaccess-Datei ein. Es gibt nur eine korrekte Konfiguration — nosniff. Stellen Sie sicher, dass Ihre Dateien korrekte Content-Type-Header haben, damit der Browser sie richtig verarbeitet.

.htaccess
.htaccessProduktiv
# .htaccess — X-Content-Type-Options
<IfModule mod_headers.c>
    Header always set X-Content-Type-Options "nosniff"
</IfModule>
PHP — Fallback
config.phpAlternative
// PHP — X-Content-Type-Options als Fallback
<?php
header("X-Content-Type-Options: nosniff");
?>
Korrekte MIME-Types vorausgesetzt

Stellen Sie sicher, dass CSS-Dateien als text/css und JS-Dateien als application/javascript ausgeliefert werden. IONOS setzt Standard-MIME-Types automatisch korrekt. Bei Problemen ergänzen Sie: AddType font/woff2 .woff2.

Verifizierung

Laden Sie die .htaccess per FTP in /www/htdocs/ hoch und prüfen Sie den Header. Die erwartete Ausgabe ist x-content-type-options: nosniff — ein einzelner Wert ohne Varianten.

Tipp: Prüfen Sie den Header auch für statische Dateien wie CSS und JavaScript: curl -sI https://ihre-domain.de/style.css | grep -i x-content-type. Der Header sollte auf allen Dateitypen gesetzt sein.
TerminalVerifizierung
# X-Content-Type-Options Header prüfen
curl -sI https://ihre-domain.de | grep -i x-content-type-options

# Erwartete Ausgabe:
# x-content-type-options: nosniff

Häufige Fehler bei X-Content-Type-Options auf IONOS

X-Content-Type-Options hat zwar nur einen Wert, aber die Umgebung auf IONOS Shared Hosting kann dennoch Probleme verursachen — besonders bei fehlenden MIME-Types für Webfonts und CDN-Interaktionen, die den Header entfernen oder überschreiben. Prüfen Sie den Header sowohl am Origin-Server als auch beim Endnutzer.

CSS oder JS wird nicht geladen

Wenn nach Aktivierung von nosniff CSS oder JavaScript nicht mehr geladen wird, liegt es an einem falschen Content-Type. Prüfen Sie in den Browser DevTools (Network-Tab), ob der Server den korrekten MIME-Type sendet.

Shared Hosting: mod_headers nicht aktiv

Falls der Header nicht erscheint, nutzen Sie den PHP-Fallback: header("X-Content-Type-Options: nosniff"). Dieser greift für alle PHP-generierten Seiten.

Webfonts mit falschem MIME-Type

Ältere Webfont-Formate können einen falschen Content-Type haben. Ergänzen Sie in der .htaccess: AddType font/woff2 .woff2 und AddType font/woff .woff.

IONOS CDN entfernt den Header

Manche CDN-Konfigurationen entfernen oder überschreiben Security Header. Prüfen Sie den Header beim Endnutzer, nicht nur am Origin-Server. Falls das CDN den Header entfernt, konfigurieren Sie ihn zusätzlich in den CDN-Einstellungen.

Compliance-Relevanz

X-Content-Type-Options verhindert MIME-Type-basierte Angriffe und ist ein Grundbestandteil jeder Webserver-Absicherung. Der Header sollte auf jeder Website gesetzt sein — unabhängig vom verwendeten CMS oder Framework. Ohne diesen Header kann der Browser den MIME-Typ einer Ressource erraten und potenziell schädlichen Code ausführen.

NIS2Art. 21(e) — Sicherheit bei Entwicklung und Wartung von Informationssystemen
OWASPOWASP ASVS — Korrekte Content-Type-Behandlung
BSIAPP.3.1 — Webserver-Absicherung mit Security Headern

Zusammenfassung

X-Content-Type-Options ist der einfachste Security Header auf IONOS: Ein Einzeiler in der .htaccess, keine Nebenwirkungen, keine Varianten. Der Header verhindert MIME-Sniffing und schützt vor Content-Type-basierten Angriffen. Kombinieren Sie ihn mit den anderen Security Headern aus diesem Ratgeber, um die bestmögliche Bewertung im Wolf-Agents Web Security Check zu erreichen.

Auf IONOS funktioniert die Konfiguration auf allen drei Tarif-Stufen: Shared Hosting per .htaccess, WordPress Hosting per Plugin oder .htaccess und vServer zusätzlich über die Webserver-Konfiguration. Prüfen Sie nach dem Upload mit curl -sI, ob der Header korrekt gesetzt ist.

Auch verfügbar für:

NginxApacheWordPressNext.jsCloudflareExpressCaddyShopifyTYPO3HetznerLaravelDrupalAll-InklShopwareContaoStratoJoomlaPHPSpring Boot

Wie steht Ihre Domain bei X-Content-Type-Options?

Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 166 Prüfpunkte.

Web Security Check starten Monitoring ab 199 EUR/Mo