LIVE Intel Feed21.639 exponierte Instanzen128.457 Checks93.4% Auth-Bypass RisikoUpdate: Feb 2026Keine Speicherung deiner Eingaben
ClawGuru
Institutional Ops Intelligence
NotfallPro Kits
Runbook

Security Headers & CSP auf Vercel

CSP, HSTS, XFO, Referrer Policy – richtig. (Operator Guide für Vercel).

Was ist das hier?

CSP, HSTS, XFO, Referrer Policy – richtig. (Operator Guide für Vercel).

Priorität
Wenn Production betroffen ist: Containment zuerst (Stop the bleeding), dann Root Cause.

Schnell‑Triage (5 Minuten)

  • Was ist exponiert (Ports, Admin, Webhooks, Origins, Buckets)?
  • Sind gerade Anomalien sichtbar (Spikes, 4xx/5xx, Login‑Fehler, Bot‑Traffic)?
  • Sind Secrets/Keys kompromittiert (Repo, CI, Logs, Chat)?
Ziel
Security Headers & CSP: CSP, HSTS, XFO, Referrer Policy – richtig.

Header Baseline (Nginx)

add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;
add_header X-Frame-Options "DENY" always;
add_header X-Content-Type-Options "nosniff" always;
add_header Referrer-Policy "no-referrer" always;
# CSP erst report-only:
# add_header Content-Security-Policy-Report-Only "default-src 'self'; ..." always;

Fix‑Schritte (Copy/Paste‑fähig)

  • HSTS aktivieren (nur wenn HTTPS überall stimmt).
  • CSP erstmal report-only, dann enforce.
  • X-Frame-Options / frame-ancestors setzen (Clickjacking).
  • Referrer-Policy + Permissions-Policy setzen.
  • Verifikation: curl -I + Browser DevTools console CSP reports.

Verifikation

Vercel → Logs (Function/Edge) und Environment Variables
curl -I https://deine-domain.tld
curl -sS https://deine-domain.tld/api/health || true

Prävention / Guardrails

  • Separate ENV pro Environment (Preview/Prod)
  • Timeouts & Memory passend für Functions

Warnungen

  • Preview Deployments erzeugen oft CORS/Origin-Mismatches.
Steps
  1. HSTS aktivieren (nur wenn HTTPS überall stimmt).
  2. CSP erstmal report-only, dann enforce.
  3. X-Frame-Options / frame-ancestors setzen (Clickjacking).
  4. Referrer-Policy + Permissions-Policy setzen.
  5. Verifikation: curl -I + Browser DevTools console CSP reports.
Re-Check starten →Copilot Runbook Builder →
provider:verceltopic:security-headers-cspvercelrunbookops
Related Runbooks
Firewall Baseline auf Hetzner
Default deny, minimal offene Ports, sichere Defaults. (Operator Guide für Hetzner).
Öffnen →
SSH Hardening auf Hetzner
Key-only, Root aus, Rate-Limits, sichere Admin-Zugänge. (Operator Guide für Hetzner).
Öffnen →
WebSocket Origin Hardening auf Hetzner
Origin whitelist, Auth, Rate-Limits, sichere Headers. (Operator Guide für Hetzner).
Öffnen →
Reverse Proxy Baseline auf Hetzner
TLS, headers, caching, upstream health, timeouts. (Operator Guide für Hetzner).
Öffnen →
Rate Limit Baseline auf Hetzner
Edge + App Limits gegen Abuse und Cost-Spikes. (Operator Guide für Hetzner).
Öffnen →
DDoS First Response auf Hetzner
Blocken, absorbieren, recovern – ohne Panik. (Operator Guide für Hetzner).
Öffnen →
Hinweis: Diese Inhalte sind für Ops/Security gedacht. Keine „Namen-Datenbank“, keine Anschuldigungen – nur Runbooks, Tools und verifizierbare Checks.
CheckCopilotPro KitsVault