HTTP 403 Forbidden
Zugriff verweigert: Der Server hat den Request verstanden und lehnt ihn bewusst ab.
Was HTTP 403 bedeutet
HTTP 403 Forbidden bedeutet, dass der Server weiß, was du angefordert hast, und es ablehnt. Anders als bei 401 hilft (erneutes) Authentifizieren hier nicht — die Ablehnung betrifft Berechtigungen oder Richtlinien, nicht die Identität.
Die Gründe reichen von Dateisystem-Berechtigungen auf dem Server über Geo-/IP-Blocks bis hin zu einer Web Application Firewall, die den Request als bösartig einstuft. Manche Sites geben auch 403 statt 404 zurück, um zu verbergen, ob eine Ressource existiert.
Häufige Ursachen von 403-Fehlern
- Unzureichende Rechte: Dem Konto fehlt die Rolle, oder der Datei fehlen Leserechte (chmod/Besitzer auf dem Server).
- IP-Adresse, Land oder User-Agent wurde vom Server, CDN oder einer WAF-Regel blockiert.
- Verzeichnisauflistung angefragt, wo Autoindex deaktiviert ist (keine index.html im Ordner).
- Hotlink-Schutz lehnt Requests mit fremdem Referer ab.
- Eine Cloudflare- oder andere WAF-Challenge ist fehlgeschlagen — automatisierter Traffic sieht hier oft 403.
So behebst du es als Nutzer
- Prüfe, ob du bei einem Konto angemeldet bist, das tatsächlich Zugriff hat.
- Versuche es ohne VPN oder Proxy — deine ausgehende IP könnte blockiert sein.
- Wenn dir der Inhalt gehört, prüfe Dateiberechtigungen und .htaccess/WAF-Regeln, statt es erneut zu versuchen.
So behebst du es als Entwickler
- Prüfe Dateibesitz und Berechtigungen (z. B. 644 für Dateien / 755 für Verzeichnisse bei typischen Webservern).
- Überprüfe Deny-Regeln: .htaccess, nginx-deny-Direktiven, Sicherheits-Plugins, verwaltete WAF-Regeln.
- Stelle sicher, dass ein Index-Dokument existiert, oder aktiviere/deaktiviere die Verzeichnisauflistung wie beabsichtigt.
- Gib bei APIs 403 mit einem maschinenlesbaren Grund zurück, damit Clients Richtlinien- von Auth-Fehlern unterscheiden können.
Beispielantwort
HTTP/1.1 403 Forbidden
Content-Type: application/json
{"error":"forbidden","reason":"account lacks role: admin"}FAQ
Was ist der Unterschied zwischen 403 und 401?
401 fordert dich zur Authentifizierung auf; 403 sagt, dass Authentifizierung nichts an der Antwort ändert — du hast schlicht keine Berechtigung.
Warum bekommt ein Bot oder Skript 403, während ein Browser funktioniert?
Eine WAF oder eine Bot-Schutz-Schicht filtert Nicht-Browser-Traffic. Weise dich korrekt aus oder nutze die offizielle API der Seite.
Kann statt 404 auch 403 zurückgegeben werden?
Ja — manche Server verbergen die Existenz von Ressourcen, indem sie einheitlich mit 403 (oder 404) auf alles Unautorisierte antworten.