Konfiguration

Alle Konfigurationsoptionen von EcomSec Security Headers erklärt.

Zugriff auf die Konfiguration

Einstellungen > System > Plugins > EcomSec Security Headers > Konfiguration

Content-Security-Policy (CSP)

Aktivieren

Aktiviert oder deaktiviert den CSP-Header.

CSP-Wert

Der vollständige CSP-Header-Wert.

Standard:

default-src 'self';
script-src 'self' 'unsafe-inline' https://cdn.jsdelivr.net;
style-src 'self' 'unsafe-inline' https://fonts.googleapis.com;
img-src 'self' data: https:;
font-src 'self' https://fonts.gstatic.com data:;
connect-src 'self';
object-src 'none';
base-uri 'self';
frame-ancestors 'none';

Wichtig: CSP kann Ihren Shop brechen! Siehe CSP Guide.

CSP-Report-Only

Testet CSP ohne zu blockieren - perfekt zum Debuggen!

Aktivieren

Aktiviert CSP-Report-Only Modus.

CSP-Report-Only-Wert

default-src https:; report-uri /csp-violation-report-endpoint/

Permissions-Policy

Kontrolliert Browser-Features (Kamera, Mikrofon, etc.).

Aktivieren

Aktiviert Permissions-Policy Header.

Wert

Standard:

camera=(), microphone=(), geolocation=(), interest-cohort=()

Strict-Transport-Security (HSTS)

Erzwingt HTTPS-Verbindungen.

Aktivieren

Aktiviert HSTS (nur bei HTTPS-Verbindungen).

Wert

Standard:

max-age=31536000; includeSubDomains; preload

Optionen:

max-age=31536000 - 1 Jahr
includeSubDomains - Gilt auch für Subdomains
preload - Für HSTS Preload List

X-Frame-Options

Schützt vor Clickjacking.

Aktivieren

Aktiviert X-Frame-Options Header.

Wert

DENY - Keine iframes erlaubt
SAMEORIGIN - Nur eigene Domain (empfohlen)

X-Content-Type-Options

Verhindert MIME-Sniffing.

Aktivieren

Aktiviert X-Content-Type-Options Header.

Wert

nosniff (fest, keine Optionen)

Referrer-Policy

Kontrolliert Referrer-Informationen.

Aktivieren

Aktiviert Referrer-Policy Header.

Wert

Optionen:

no-referrer - Kein Referrer
strict-origin-when-cross-origin - Empfohlen
same-origin - Nur bei gleicher Domain
Weitere Optionen verfügbar

Sales Channel Konfiguration

Jeder Sales Channel kann eigene Header-Konfigurationen haben!

So geht's:

Sales Channel Switcher oben rechts
Sales Channel auswählen
Header konfigurieren
Speichern

Konfiguration ​

Zugriff auf die Konfiguration ​

Content-Security-Policy (CSP) ​

Aktivieren ​

CSP-Wert ​

CSP-Report-Only ​

Aktivieren ​

CSP-Report-Only-Wert ​

Permissions-Policy ​

Aktivieren ​

Wert ​

Strict-Transport-Security (HSTS) ​

Aktivieren ​

Wert ​

X-Frame-Options ​

Aktivieren ​

Wert ​

X-Content-Type-Options ​

Aktivieren ​

Wert ​

Referrer-Policy ​

Aktivieren ​

Wert ​

Sales Channel Konfiguration ​

Nächste Schritte ​

Konfiguration

Zugriff auf die Konfiguration

Content-Security-Policy (CSP)

Aktivieren

CSP-Wert

CSP-Report-Only

Aktivieren

CSP-Report-Only-Wert

Permissions-Policy

Aktivieren

Wert

Strict-Transport-Security (HSTS)

Aktivieren

Wert

X-Frame-Options

Aktivieren

Wert

X-Content-Type-Options

Aktivieren

Wert

Referrer-Policy

Aktivieren

Wert

Sales Channel Konfiguration

Nächste Schritte