Was macht eine .htaccess-Datei?

Eine `.htaccess` ist eine Apache-Konfigurationsdatei pro Verzeichnis. Sie steuert Redirects, Rewrites, HTTP-Header, Cache-Verhalten, Zugriffsschutz und Fehler-Seiten — ohne die globale Server-Konfiguration anzufassen. Die Datei liegt im Web-Root oder einem Unterordner und wirkt auf alle darunter liegenden Pfade. Apache lädt sie bei jeder Anfrage neu, was sie flexibel, aber auch performance-relevant macht.

Brauche ich Apache 2.4 oder reicht 2.2?

Apache 2.4 ist seit 2012 die stabile Version und auf jedem aktuellen Shared-Hoster Standard. Die wichtigste Änderung betrifft die Zugriffs-Direktiven: 2.4 nutzt `Require` (z. B. `Require ip 192.168.1.1`), während 2.2 noch `Order Allow,Deny` plus `Allow from` brauchte. Wer auf einem alten Hoster ausrollt, wählt im Generator die 2.4+2.2-Dual-Option — dann werden beide Syntaxen in ` `-Blöcke verpackt und der Server nimmt die passende.

Wie schalte ich HTTPS in .htaccess hart ein?

Die Regel `RewriteEngine On` plus `RewriteCond %{HTTPS} off` plus `RewriteRule ^(.*)$ https://%{HTTP_HOST}/$1 [R=301,L]` leitet jeden HTTP-Aufruf permanent auf HTTPS um. `R=301` macht den Redirect cache-fähig, `L` beendet die Rewrite-Kette. `%{HTTP_HOST}` erhält den ursprünglich aufgerufenen Hostnamen — wichtig, wenn deine Seite unter mehreren Domains erreichbar ist. Im Generator-Modus „HTTPS erzwingen“ mit aktivem Preserve-Host kommt genau dieses Snippet heraus.

Was ist HSTS und wann sollte ich Preload aktivieren?

HSTS (HTTP Strict Transport Security) ist ein Browser-Header, der dem Browser sagt: „Komm in den nächsten X Sekunden immer über HTTPS, niemals über HTTP.“ Der Header lautet `Strict-Transport-Security: max-age=31536000; includeSubDomains; preload`. Preload geht einen Schritt weiter — die Domain landet in einer Liste, die direkt in Chrome, Firefox, Safari und Edge ausgeliefert wird, also ist die erste Anfrage schon vor dem ersten HTTP-Aufruf geschützt. Voraussetzungen: HTTPS auf allen Subdomains, kein HTTP-Backup, und das `preload`-Flag in der Header-Direktive. Einreichung über hstspreload.org.

Was ist eine Content-Security-Policy und welche Werte sind 2026 sinnvoll?

Die Content-Security-Policy (CSP) ist eine Allow-Liste für Browser, die festlegt, woher Skripte, Styles, Bilder, Fonts und sonstige Ressourcen geladen werden dürfen. Ohne CSP kann ein eingeschleuster ` `-Tag jede beliebige Quelle nachladen. Eine moderne 2026er-CSP startet mit `default-src 'self'`, erlaubt `script-src 'self' 'strict-dynamic'` (statt unsicherer `'unsafe-inline'`-Whitelists), setzt `frame-ancestors 'none'` gegen Clickjacking und schließt mit `form-action 'self'`. Der Generator liefert einen sinnvollen Starter, weist aber explizit darauf hin: Vor Deploy am externen [CSP-Evaluator](https://csp-evaluator.withgoogle.com/) prüfen — eine falsche CSP blockiert deine eigenen Skripte.

Was sind Permissions-Policy und Cross-Origin-Opener-Policy?

`Permissions-Policy` (vormals Feature-Policy) verbietet dem Browser, im Kontext deiner Seite bestimmte APIs zu nutzen — z. B. `camera=()`, `microphone=()`, `geolocation=()`. Standard: alles aus, was du nicht aktiv brauchst. `Cross-Origin-Opener-Policy: same-origin` (COOP) isoliert das BrowsingContextGroup-Fenster deiner Seite, sodass `window.opener`-Attacken nicht funktionieren und gleichzeitig `SharedArrayBuffer` verfügbar wird. Beide Header sind in modernen Audit-Tools (Mozilla Observatory, securityheaders.com) Pflicht-Lieferanten für eine A-Wertung.

Wie generiere ich gleichzeitig eine Cloudflare-Pages-Konfiguration?

Cloudflare Pages liest keine `.htaccess`. Stattdessen liest es zwei Dateien: `_headers` für Response-Header und `_redirects` für 301/302/308-Weiterleitungen. Beide haben eine eigene, einfache Syntax (Pfad-Pattern plus Wert). Der Generator emittiert aus derselben Regel-Liste beide Dateien — du wechselst nur den Output-Tab. Sicherheits-Header und Cache-Control gehen in `_headers`, Redirect-/HTTPS-Erzwingen-/www-Canonical-Regeln gehen in `_redirects`. So funktioniert dieselbe Regel-Liste auf Apache-Shared-Hosting und auf der modernen Edge-Plattform.

Was bedeuten die Modul-Badges unter jeder Regel?

Jede `.htaccess`-Direktive braucht ein Apache-Modul (`mod_rewrite` für Rewrites, `mod_headers` für Custom-Header, `mod_alias` für einfache Redirects, `mod_deflate` für Kompression usw.). Auf Shared-Hostern ist nicht jedes Modul geladen — eine `Header set …`-Zeile ohne `mod_headers` ist eine 500er-Falle. Der Generator wickelt deshalb jede Direktive automatisch in einen ` `-Guard, sodass die Regel still ausfällt statt eine Internal-Server-Error zu erzeugen. Die Badges zeigen, welche Module dein Hoster bereitstellen muss.

Kann der Generator meine bestehende .htaccess validieren?

Nein — der Generator emittiert, er validiert nicht. Server-seitige Validierung würde einen Apache-Mock im Browser benötigen, das bricht das Pure-Client-Versprechen. Wer eine bestehende Datei prüfen möchte, nutzt einen externen Tester wie [htaccess.madewithlove.com](https://htaccess.madewithlove.com/) — der schlägt einfache Regeln durch und meldet Syntax-Fehler. Im Apache-Logfile (`/var/log/apache2/error.log` oder Hoster-spezifischer Pfad) findest du die Real-Run-Fehler nach dem Deploy.

Wo speichere ich die Datei auf dem Server?

Im Web-Root deiner Domain — bei den meisten Hostern ist das `public_html/`, `htdocs/` oder `www/`. Wichtig: Die Datei beginnt mit einem Punkt (`.htaccess`), Web-Server zeigen sie deshalb in normalen FTP-Listings nicht an — versteckte Dateien einschalten. Pro Verzeichnis kann eine eigene `.htaccess` liegen; die Regeln addieren sich von oben nach unten entlang des Pfads. Nach dem Upload reicht ein Reload der Seite, kein Server-Neustart nötig.

.htaccess-Generator — Security-Header & HSTS

Was macht der .htaccess-Generator?

Der Generator ist ein Editor für Apache-Konfigurations-Regeln. Du wählst aus 14 Regel-Typen (Redirects, Rewrites, Sicherheits-Header, HTTPS-Erzwingen, Cache-Control, IP-Block, Hotlink-Schutz, HTTP-Basic-Auth und mehr), passt jede Regel pro Feld an und bekommst eine sauber strukturierte .htaccess zurück — inklusive <IfModule>-Guards pro Regel, optionalem <IfVersion>-Dual-Output für alte Shared-Hoster, und Cloudflare-Pages-Export für _headers und _redirects. Alles passiert im Browser. Kein Upload, kein Account, kein Cookie-Banner.

Die vier Voreinstellungen decken die häufigsten Stack-Konstellationen ab:

Moderne Sicherheits-Header — CSP-Starter, HSTS preload-ready, Permissions-Policy, COOP, X-Content-Type-Options, Referrer-Policy.
Statische Seite — Performance — Cache-Control + Expires für JS/CSS/Bilder/Fonts, Deflate-Kompression für Text-MIMEs.
HSTS Preload-Pipeline — komplette Vorbereitung für die hstspreload.org-Submission.
WordPress-Härtung — Schutz für wp-config.php, wp-includes, XML-RPC.

Welche Regel-Typen sind eingebaut?

Vierzehn Regel-Typen, gegliedert nach Funktion:

Routing — Redirect (301/302/303/307/308), Rewrite-Pattern, www ↔ non-www, HTTPS erzwingen, Trailing-Slash hinzufügen oder entfernen.
Header — Sicherheits-Header-Block mit CSP, Permissions-Policy, HSTS, COOP, Referrer-Policy.
Zugriff — IP-Allow-Liste (gesamte Seite oder nur Admin-Bereich), IP-Block-Liste, HTTP-Basic-Auth mit Realm und .htpasswd-Pfad.
Inhalt — Custom-Error-Documents (401/403/404/500), Directory-Listing an/aus, Cache-Control mit max-age und immutable, Compression mit MIME-Type-Liste.
Schutz — Hotlink-Protection mit Referer-Allowlist.

Jede Regel zeigt unter ihrem Header die benötigten Apache-Module als Badge. So siehst du auf einen Blick, ob dein Hoster mod_rewrite, mod_headers, mod_deflate und Co. bereitstellt.

Wie funktioniert der Apache-2.4-vs-2.2-Dual-Modus?

Die meisten Shared-Hoster laufen 2026 auf Apache 2.4. Die Zugriffs-Direktiven haben sich aber zwischen 2.2 und 2.4 grundlegend geändert: Statt Order Allow,Deny plus Allow from nutzt 2.4 die neue Require-Direktive. Wer auf einem Legacy-Hoster ausrollt, schaltet im Generator den 2.4+2.2-Dual-Modus an — dann emittiert der Generator beide Syntax-Varianten in <IfVersion>-Blöcke verpackt. Apache liest nur den passenden Block, und du musst nicht zwei separate .htaccess-Dateien pflegen.

Der Trade-off: <IfVersion> selbst braucht mod_version, das auf den meisten 2.4ern dabei ist, aber nicht auf jedem 2.2er. Der Generator wickelt deshalb die Dual-Blöcke zusätzlich in einen <IfModule mod_version.c>-Guard.

Was macht die HSTS-Preload-Checkliste?

Aktivierst du in einer Sicherheits-Header-Regel das HSTS-Flag, erscheint oberhalb der Regel-Liste eine Checkliste. Sie schaut die anderen Regeln durch und meldet, was die hstspreload.org-Einreichung sonst zurückweist:

Fehlt ein HTTPS-Redirect? → wird gemeldet.
Ist includeSubDomains im HSTS-Header? → wird geprüft.
Ist preload im HSTS-Header? → wird geprüft.

Wenn alles grün ist, bietet der Link direkt die Einreichungs-Maske von hstspreload.org an. So vermeidest du den klassischen Fall, dass die Domain abgelehnt wird, weil der Submission-Workflow nicht verstanden wurde.

Welche Sicherheits-Header lohnen sich wirklich?

Die Mozilla Web Security Guidelines und der OWASP Secure Headers Project listen die folgenden Header als Pflicht-Set für moderne Web-Anwendungen. Der Generator deckt sie alle ab:

Strict-Transport-Security — erzwingt HTTPS in Browsern für die nächste Periode (max-age 1 Jahr Standard, preload-ready). Pflicht für jede Seite, die irgendwann mal über HTTP erreichbar war.
Content-Security-Policy — Allow-Liste für Skripte, Styles, Bilder, Fonts. Verhindert Cross-Site-Scripting und Mixed-Content. Komplex zu tunen, daher der Validator-Hinweis.
Permissions-Policy — sperrt Browser-APIs (Kamera, Mikrofon, Geolocation, Payment Request, Sensors), die deine Seite nicht braucht. Default: alles aus.
Cross-Origin-Opener-Policy — same-origin isoliert das Fenster gegen window.opener-Tampering und schaltet SharedArrayBuffer frei (relevant für WebAssembly-Tools).
Referrer-Policy — strict-origin-when-cross-origin schickt den vollen Referer nur an die eigene Domain, an Drittseiten nur die Origin. Balance zwischen Analytics-Bedarf und Privacy.
X-Content-Type-Options — nosniff verhindert MIME-Sniffing-Attacken auf Dateien mit ungesetztem Content-Type-Header.

Der Generator wickelt alle sechs in einen einzigen <IfModule mod_headers.c>-Block und gibt den Block als zusammenhängende Einheit aus. Wer einen Header nicht braucht, deaktiviert die entsprechende Checkbox oder löscht den Wert im Textfeld — die Zeile fällt automatisch aus dem Output.

Wie funktioniert der Cloudflare-Pages-Export?

Cloudflare Pages liest keine .htaccess. Stattdessen erwartet die Plattform zwei Dateien im Web-Root:

_headers — Path-Pattern plus HTTP-Response-Header. Format: Pfad-Zeile + eingerückte Key: Value-Zeilen.
_redirects — Source-Pfad, Destination-Pfad, Status-Code pro Zeile.

Der Generator emittiert aus derselben Regel-Liste beide Dateien. Sicherheits-Header und Cache-Control gehen in _headers, Redirect-/HTTPS-Erzwingen-/www-Canonical-/Trailing-Slash-Regeln gehen in _redirects. Du wechselst einfach den Output-Tab.

Damit wird ein häufiger Pain-Point gelöst: Wer von Shared-Hosting auf eine Edge-Plattform migriert, muss seine .htaccess sonst manuell in zwei andere Dateien übersetzen. Der Generator macht das automatisch — gleiche Regel-Liste, drei Output-Formate.

Welche Fehler treten am häufigsten auf?

Drei Klassiker, die bei Production-Deploys einer neuen .htaccess immer wieder auftauchen — und der Generator versucht jeden zu vermeiden:

500 Internal Server Error nach dem Upload — das ist fast immer eine Direktive ohne geladenes Modul. Klassisch: Header set … auf einem Hoster ohne mod_headers. Der Generator wickelt deshalb jede Regel in einen <IfModule>-Guard. Wenn du trotzdem einen 500er siehst, prüfe als Erstes das error.log deines Hosters.
Endlos-Redirect-Loop bei HTTPS-Erzwingen hinter einem Reverse-Proxy — Cloudflare und ähnliche CDNs leiten den Request schon HTTPS-terminiert weiter; Apache sieht aber %{HTTPS} als off, weil die Verbindung Proxy → Origin HTTP ist. Lösung: Statt %{HTTPS} prüfst du %{HTTP:X-Forwarded-Proto}. Der Generator emittiert die Standard-Variante; wer hinter einem CDN sitzt, passt die Bedingung manuell an.
CSP blockiert eigene Inline-Skripte — passiert, wenn die Standard-CSP ohne 'unsafe-inline' ausgespielt wird, deine Seite aber noch Inline-Skripte enthält. Zwei Wege: Inline-Skripte in separate Dateien auslagern (sauberer Weg, langfristig), oder per Nonce-/Hash-Whitelist die verbleibenden Inlines explizit erlauben. Der externe CSP-Evaluator zeigt genau, welche Inlines die Policy gerade blockt.

Diese drei Pain-Points sind in den FAQ-Antworten verlinkt, der Generator selbst kann sie nicht verhindern, aber er kommuniziert sie ehrlich.

Wie ist die Privacy geregelt?

Pure-client. Der Generator läuft komplett im Browser. Es gibt keinen Server-Endpunkt für Regel-Validierung, keinen Telemetrie-Aufruf, keinen Cookie, keinen Account. Wenn du das Tab schließt, ist deine Regel-Liste weg — der Generator persistiert nichts. Wer einen Verlauf braucht, lädt nach jedem Edit die .htaccess herunter und versioniert sie im Repo, wo sie sowieso hingehört.

Was ist absichtlich nicht gebaut?

Kein nginx-Konverter — htaccess-zu-nginx ist ein separates Tool im Backlog, weil die Direktiv-Mappings zu umfangreich für einen Inline-Tab sind.
Kein .htpasswd-Generator inline — der Passwort-Datei-Generator ist Schwester-Tool htpasswd-generator (kommt). HTTP-Basic-Auth-Regel verweist im Output auf die nötige Datei.
Keine Bot-Blocker-Mega-Liste — User-Agent-basiertes Sniffing ist 2026 als Schutz weitgehend ineffektiv und produziert False-Positives. Wer Bots blocken will, nutzt eine WAF auf Edge-Ebene.
Keine Server-seitige Validierung — würde Server-Roundtrip brauchen, bricht das Pure-Client- Versprechen. Für Live-Tests verweist die FAQ auf den externen Tester von madewithlove.
Kein mod_security-Ruleset-Editor — zu spezialisiert für ein Generator-Tool. Wer mod_security tunt, arbeitet direkt mit der OWASP-CRS-Konfiguration.

Wo finde ich mehr Details?

Apache HTTP Server Dokumentation 2.4 — offizielle Direktiven-Referenz
.htaccess auf Wikipedia — Geschichte, Funktionsweise, Beispiele
hstspreload.org — Submission-Liste für HSTS-Preload-Domains
CSP Evaluator — externer Validator für Content-Security-Policy-Werte
Cloudflare-Pages-Headers-Doku — _headers-Syntax-Referenz
Cloudflare-Pages-Redirects-Doku — _redirects-Syntax-Referenz

.htaccess-Generator — Security-Header & HSTS

Voreinstellungen

Apache-Version

Regeln 2

So funktioniert es

Text oder Code einfügen

Automatische Verarbeitung

Ergebnis kopieren

Datenschutz

Wie benutzt du dieses Tool?