X-Content-Type-Options auf Strato konfigurieren
MIME-Sniffing auf Ihrem Strato Webhosting verhindern — nosniff per .htaccess setzen und korrekte MIME-Types sicherstellen.
X-Content-Type-Options auf Strato
X-Content-Type-Options: nosniff verhindert, dass Browser den MIME-Type einer Ressource erraten (MIME-Sniffing). Ohne diesen Header kann ein Browser eine als Bild deklarierte Datei als JavaScript interpretieren und ausführen — ein klassischer Angriffsvektor. Der Header ist mit 5 von 166 Punkten im Wolf-Agents Web Security Check vertreten.
Auf Strato Shared Hosting setzen Sie den Header per .htaccess mit mod_headers. Dies ist eine der einfachsten Security-Header-Konfigurationen — der Header hat nur einen einzigen gültigen Wert: nosniff. Er funktioniert auf allen Strato-Tarifen ohne Nebenwirkungen, sofern die MIME-Types korrekt konfiguriert sind.
Wichtig: Stellen Sie sicher, dass alle Ressourcen mit dem korrekten Content-Type-Header ausgeliefert werden. Mit nosniff blockiert der Browser Ressourcen, deren deklarierter MIME-Type nicht zum Inhalt passt.
X-Content-Type-Options auf Strato implementieren
Laden Sie die .htaccess-Datei per FTP hoch. Ergänzen Sie bei Bedarf korrekte MIME-Type-Zuweisungen mit mod_mime, damit der Browser keine Ressourcen blockiert.
# .htaccess — X-Content-Type-Options
<IfModule mod_headers.c>
Header always set X-Content-Type-Options "nosniff"
</IfModule># .htaccess — Korrekte MIME-Types sicherstellen
<IfModule mod_mime.c>
AddType application/javascript .js
AddType text/css .css
AddType image/svg+xml .svg
AddType application/json .json
AddType application/font-woff2 .woff2
</IfModule>// PHP Fallback — für dynamische Seiten
<?php
header("X-Content-Type-Options: nosniff");
?>Auf einem Strato V-Server konfigurieren Sie den Header direkt in der Webserver-Konfiguration. Auf dem Managed Server nutzen Sie das Plesk-Panel unter Apache & nginx Einstellungen.
Verifizierung
Prüfen Sie den Header per curl. Bei Strato kann es einige Minuten dauern, bis die .htaccess wirksam wird. Testen Sie verschiedene Ressourcentypen (HTML, CSS, JS), um sicherzustellen, dass der Header überall gesetzt wird.
# X-Content-Type-Options-Header pruefen
curl -sI https://ihre-domain.de | grep -i x-content-type-options
# Erwartete Ausgabe:
# x-content-type-options: nosniffHäufige Fehler bei X-Content-Type-Options auf Strato
Falsche MIME-Types bei Strato — Ressourcen werden blockiert
Mit nosniff blockiert der Browser JavaScript-Dateien, die nicht als application/javascript ausgeliefert werden. Ergänzen Sie AddType-Direktiven in der .htaccess, um korrekte MIME-Types sicherzustellen.
SVG-Dateien werden nach nosniff nicht mehr angezeigt
SVG-Dateien benötigen den MIME-Type image/svg+xml. Wenn Strato den falschen MIME-Type setzt, fügen Sie AddType image/svg+xml .svg in die .htaccess ein.
WordPress-Plugins laden Inline-Scripts als text/html
Einige ältere WordPress-Plugins liefern dynamisch generiertes JavaScript mit dem falschen Content-Type aus. Aktualisieren Sie Plugins auf aktuelle Versionen oder wechseln Sie zu Alternativen, die korrekte MIME-Types verwenden.
Compliance-Relevanz
X-Content-Type-Options verhindert MIME-Confusion-Angriffe und ist eine Grundanforderung der Browser-Sicherheit.
Wie steht Ihre Domain bei X-Content-Type-Options?
Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 166 Prüfpunkte.