EcomSec Docs

Deutsch

English

Deutsch

English

Appearance

Troubleshooting

Lösungen für häufige Probleme mit EcomSec Security Headers.

Header werden nicht gesetzt

Problem

Header erscheinen nicht in den Response Headers.

Lösung

  1. Cache leeren:

    bash
    bin/console cache:clear

  2. Plugin-Status prüfen:

    bash
    bin/console plugin:list | grep EcomSecSecurityHeaders

    Sollte "Yes Yes" zeigen (installiert + aktiviert).

  3. Header in Config aktiviert? Prüfen Sie die Plugin-Konfiguration.

  4. Logs prüfen:

    bash
    tail -f var/log/prod.log

HSTS wird nicht gesetzt

Problem

Strict-Transport-Security Header fehlt.

Ursache

HSTS wird nur bei HTTPS-Verbindungen gesetzt!

Lösung

  1. Stellen Sie sicher dass HTTPS aktiv ist
  2. Prüfen Sie $_SERVER['HTTPS'] oder Proxy-Header
  3. Bei Reverse-Proxy: X-Forwarded-Proto: https Header setzen

CSP bricht den Shop

Problem

Nach CSP-Aktivierung funktioniert der Shop nicht mehr.

Lösung

  1. CSP deaktivieren (sofort):

    • Plugin-Konfiguration öffnen
    • CSP deaktivieren
    • Speichern & Cache leeren

  2. CSP-Report-Only nutzen:

    • Aktivieren Sie CSP-Report-Only statt CSP
    • Violations in Browser Console beobachten
    • CSP-Policy anpassen
    • Wenn keine Violations: CSP aktivieren

  3. CSP Schritt für Schritt: Siehe CSP Guide

Violations finden

Browser Console

  1. F12 drücken
  2. Console Tab öffnen
  3. Nach "Content Security Policy" filtern
  4. Violations analysieren

Beispiel Violation: 

Refused to load the script 'https://example.com/script.js' 
because it violates the following Content Security Policy directive: 
"script-src 'self'"

Lösung: script-src erweitern:

script-src 'self' https://example.com;

X-Frame-Options Probleme

Problem

Shop kann nicht in iframe eingebettet werden.

Ursache

X-Frame-Options: DENY oder SAMEORIGIN

Lösung

  • Für eigene iframes: SAMEORIGIN nutzen
  • Für externe iframes: X-Frame-Options deaktivieren (nicht empfohlen!)
  • Alternative: CSP frame-ancestors nutzen

Permissions-Policy Fehler

Problem

Browser-Features funktionieren nicht (Kamera, Geolocation, etc.).

Lösung

Permissions-Policy anpassen:

Kamera erlauben:

camera=(self), microphone=(), geolocation=()

Geolocation erlauben:

camera=(), microphone=(), geolocation=(self)

Sales Channel Konfiguration

Problem

Header funktionieren nur in einem Sales Channel.

Ursache

Header sind pro Sales Channel konfigurierbar.

Lösung

  1. Sales Channel wechseln (oben rechts)
  2. Header für jeden Channel konfigurieren
  3. Oder: System-Config für alle Channels nutzen

Plugin lässt sich nicht installieren

Fehler: "Plugin not found"

bash
bin/console plugin:refresh
bin/console plugin:install EcomSecSecurityHeaders

Fehler: "Requirements not met"

Prüfen Sie:

  • Shopware Version ≥ 6.6.0
  • PHP Version ≥ 8.1

Fehler: "Class not found"

bash
composer dump-autoload
bin/console cache:clear

Weitere Hilfe

Immer noch Probleme?

Released under the MIT License.

Copyright © 2025 Dimitri Reimchen