Vollständige Fehlerbehebung für Claude Code WebFetch: 4 Schritte zur Lösung des Problems Unable to verify if domain

Wenn Sie in Claude Code versuchen, http://www.weather.com.cn abzurufen, erhalten Sie möglicherweise fünfmal hintereinander die gleiche rote Fehlermeldung: Unable to verify if domain www.weather.com.cn is safe to fetch. This may be due to network restrictions or enterprise security policies blocking claude.ai. Es sieht so aus, als würde eine "Netzwerk- oder Firewall-Einschränkung claude.ai blockieren", aber das ist nicht die Wahrheit – diese Fehlermeldung führt Benutzer und Administratoren massiv in die Irre.

Dieser Artikel analysiert systematisch die wahre Ursache des Claude Code WebFetch-Fehlers. Basierend auf offiziellen GitHub-Issues von Anthropic, der Dokumentation zur Netzwerkkonfiguration von Claude Code und Testergebnissen aus der Community stellen wir einen 4-stufigen Lösungsansatz vor. Am Ende finden Sie Best Practices für Benutzer, die Claude Code über APIYI (apiyi.com) verwenden – APIYI übernimmt lediglich die API-Weiterleitung; das Preflight-Problem bei WebFetch muss durch Proxys und Konfiguration gelöst werden.

Die wahre Ursache des Claude Code WebFetch-Fehlers

Bevor Sie an der Konfiguration schrauben, sollten Sie verstehen, was die Fehlermeldung eigentlich bedeutet. Der Claude Code WebFetch-Fehler ist ein klassischer Fall von "eine Erkältung für Krebs halten".

Die Wahrheit hinter der Fehlermeldung

Bevor Claude Code einen WebFetch-Aufruf ausführt, führt er eine "Sicherheitsüberprüfung der Domain" (Preflight) durch: Er sendet eine HTTP-Anfrage an https://claude.ai/code/ und fragt: "Darf diese Domain abgerufen werden?". Genau hier liegt das Problem:

Phase	Was tatsächlich passiert
① Claude Code löst WebFetch aus	CLI-Prozess bereitet das Abrufen der Ziel-URL vor
② Preflight-Anfrage	HTTP-Anfrage an `https://claude.ai/code/`
③ Cloudflare Bot-Schutz	Antwort 403 + `cf-mitigated: challenge` + JS-Challenge
④ CLI ohne Browser-Umgebung	JavaScript-Challenge kann nicht ausgeführt werden
⑤ Preflight schlägt fehl	Fehlermeldung "Unable to verify if domain is safe"
⑥ Ziel-URL wurde nie besucht	Ob Ihre Netzwerkverbindung weather.com.cn erreichen kann, ist völlig irrelevant

Mit anderen Worten: Es wurde nie getestet, ob die Ziel-Website erreichbar ist – die Anfrage scheitert bereits im zweiten Schritt. Der Teil der Fehlermeldung über "enterprise security policies blocking claude.ai" ist zwar technisch korrekt, aber mit "Unternehmensrichtlinien" ist nicht Ihre IT-Abteilung gemeint, sondern die Cloudflare-Schutzregeln, die Anthropic vor claude.ai geschaltet hat.

🎯 Wichtiger Punkt: Dies ist ein architektonisches Designproblem, das im offiziellen GitHub-Issue #39896 von Anthropic bestätigt wurde. Es betrifft alle Headless-Umgebungen – CI/CD, Docker-Container, WSL, SSH-Sitzungen und Bedrock-Bereitstellungen können betroffen sein. Dies gilt auch bei der Weiterleitung von API-Aufrufen über APIYI (apiyi.com), da das Preflight an claude.ai und nicht an api.anthropic.com gerichtet ist.

Drei typische Fehlerszenarien

Je nach Netzwerkumgebung kann dieser Fehler durch verschiedene Faktoren verursacht werden:

Szenario	Ziel-Website	Proxy-Status	Ursache
A. Lokale Maschine + kein Proxy	Beliebige ausländische Seite	Kein Proxy	Direkte Verbindung zu claude.ai schlägt fehl + Preflight scheitert
B. Lokale Maschine + Proxy aktiv	Inländische Seite (weather.com.cn)	Proxy ins Ausland	Preflight besucht claude.ai über Proxy, wird aber dennoch von Cloudflare blockiert
C. Ausländische Maschine + kein Proxy	Beliebige Seite	Kein Proxy nötig	Cloudflare erkennt CLI als Bot, Preflight scheitert

Der Benutzer im Screenshot, der www.weather.com.cn abrufen wollte, fällt unter Szenario B – es scheint, als ob "inländische Websites erreichbar sein sollten", aber tatsächlich ist das Preflight-Problem bei claude.ai der Grund, was nichts mit der Ziel-Website zu tun hat.

4-stufiger Leitfaden zur Fehlerbehebung bei Claude Code WebFetch

Sobald die Ursache identifiziert ist, gehen wir die Fehlerbehebung schrittweise durch, sortiert nach dem „Ausmaß der Auswirkungen“.

Claude Code WebFetch · 4-stufige progressive Fehlerbehebung Von einfach bis komplex · 90 % der Probleme enden bereits auf den ersten beiden Ebenen

Ebene 1 · Proxy und Umgebungsvariablen HTTPS_PROXY / HTTP_PROXY / NO_PROXY · Schreiben Sie in den env-Block der Shell oder settings.json 🎯 90% der Probleme inländischer Nutzer enden auf dieser Ebene · Denken Sie daran, api.apiyi.com zu NO_PROXY hinzuzufügen 5 Minuten Am häufigsten

Ebene 2 · Berechtigungsvorautorisierung permissions.allow WebFetch(domain:xxx) hinzufügen · Unterstützung für Platzhalter *.example.com 🎯 Vermeiden Sie jedes Mal zu fragen · Unternehmen können eine Whitelist über managed-settings.json einheitlich bereitstellen 3 Minuten Team-Einheit

Layer 3 · Unternehmens-CA und mTLS NODE_EXTRA_CA_CERTS · CLAUDE_CODE_CERT_STORE · Client-Zertifikat mTLS 🎯 Ein Muss für TLS-Abfang-Proxys wie Zscaler / CrowdStrike / Cato 10 Minuten Unternehmensszenarien

Ebene 4 · WebFetch umgehen Bash(curl:*) Alternative · oder Integration von fetch-mcp / Playwright MCP server 🎯 CI-Container / Preflight-Szenarien, die überhaupt nicht funktionieren · Umgehung von claude.ai Preflight vollständig 15 Minuten Ultimative Lösung

Stufe 1: Proxy- und NO_PROXY-Umgebungsvariablen

Dies ist für Nutzer in China oft die erste Hürde. Claude Code folgt den Standard-Proxy-Umgebungsvariablen und liest sie in dieser Priorität:

https_proxy > HTTPS_PROXY > http_proxy > HTTP_PROXY

Minimale Konfiguration für macOS / Linux:

# ~/.zshrc oder ~/.bashrc
export HTTPS_PROXY=http://127.0.0.1:7890
export HTTP_PROXY=http://127.0.0.1:7890
export NO_PROXY="localhost,127.0.0.1,::1,api.apiyi.com,vip.apiyi.com"

Windows PowerShell:

$env:HTTPS_PROXY = "http://127.0.0.1:7890"
$env:HTTP_PROXY = "http://127.0.0.1:7890"
$env:NO_PROXY = "localhost,127.0.0.1,api.apiyi.com,vip.apiyi.com"

Alternativ können Sie die Einstellungen direkt in den env-Block der ~/.claude/settings.json schreiben:

{
  "env": {
    "HTTPS_PROXY": "http://127.0.0.1:7890",
    "HTTP_PROXY": "http://127.0.0.1:7890",
    "NO_PROXY": "localhost,127.0.0.1,api.apiyi.com,vip.apiyi.com"
  }
}

⚠️ Wichtiges Detail: Sie müssen die API-Proxy-Dienst-Domains von APIYI (api.apiyi.com / vip.apiyi.com) in NO_PROXY aufnehmen! Andernfalls wird der Modellaufruf von Claude Code über den Proxy umgeleitet, was nicht nur langsam ist, sondern auch dazu führen kann, dass der Datenverkehr vom Proxy-Knoten abgefangen wird. Wir empfehlen, die API-Aufrufe über NO_PROXY direkt an APIYI zu leiten und den WebFetch-Preflight über den Proxy an claude.ai zu senden – die Trennung dieser beiden Pfade ist am stabilsten.

Proxy mit Basisauthentifizierung (häufig in Firmennetzwerken):

export HTTPS_PROXY=http://username:[email protected]:8080

Hinweis: Claude Code unterstützt keine SOCKS-Proxys. Wenn Ihr Proxy nur den SOCKS-Modus bietet, nutzen Sie privoxy oder v2ray, um SOCKS in HTTP umzuwandeln.

Stufe 2: Berechtigungsvorabgenehmigung für WebFetch (domain:xxx)

Manchmal funktioniert der Preflight, aber Claude Code fragt dennoch jedes Mal: "Darf diese Domain abgerufen werden?". Fügen Sie häufig genutzte Domains zu permissions.allow hinzu, damit Claude nicht mehr nachfragt:

{
  "permissions": {
    "allow": [
      "WebFetch(domain:www.weather.com.cn)",
      "WebFetch(domain:github.com)",
      "WebFetch(domain:developer.mozilla.org)",
      "WebFetch(domain:docs.python.org)"
    ],
    "ask": [
      "WebFetch"
    ]
  }
}

Kurzübersicht der Regel-Syntax:

Regel-Schreibweise	Abdeckungsbereich
`WebFetch`	Alle WebFetch-Aufrufe
`WebFetch(domain:example.com)`	Nur example.com
`WebFetch(domain:*.example.com)`	Alle Subdomains von example.com
`WebFetch(domain:*)`	Jede Domain (entspricht einer Freigabe)

🎯 Empfehlung: In Unternehmensumgebungen empfiehlt es sich, eine Whitelist für erlaubte Domains über managed-settings.json zu definieren. Diese Datei sollte unter /Library/Application Support/ClaudeCode/managed-settings.json (macOS) oder /etc/claude-code/managed-settings.json (Linux) liegen. In Kombination mit allowManagedPermissionRulesOnly: true stellen Sie sicher, dass sich alle Entwickler an die Vorgaben halten. Entwicklungsteams, die die Claude API über APIYI (apiyi.com) nutzen, können dieselben Regeln anwenden, um eine konsistente Berechtigungsstrategie für Claude Code und Backend-API-Aufrufe zu gewährleisten.

Stufe 3: Unternehmens-CA-Zertifikate und TLS-Interception

Wenn Ihr Unternehmen TLS-Interception-Sicherheitsprodukte wie Zscaler, CrowdStrike oder Cato Networks einsetzt, werden HTTPS-Zertifikate neu signiert. Dies führt dazu, dass die Node.js-Laufzeitumgebung von Claude Code SSL-Fehler wie UNABLE_TO_GET_ISSUER_CERT ausgibt.

Lösung: Exportieren Sie das Root-CA-Zertifikat des Unternehmens und verweisen Sie darauf:

export NODE_EXTRA_CA_CERTS=/path/to/company-root-ca.pem

Oder tragen Sie es in die ~/.claude/settings.json ein:

{
  "env": {
    "NODE_EXTRA_CA_CERTS": "/Users/you/certs/company-root-ca.pem",
    "CLAUDE_CODE_CERT_STORE": "bundled,system"
  }
}

Mögliche Werte für CLAUDE_CODE_CERT_STORE:

Wert	Bedeutung
`bundled`	Vertraut nur der mitgelieferten Mozilla CA-Sammlung von Claude Code
`system`	Vertraut nur dem Zertifikatsspeicher des Betriebssystems
`bundled,system` (Standard)	Vertraut beiden

mTLS-Zwei-Wege-Authentifizierung (für strengere Unternehmensumgebungen):

export CLAUDE_CODE_CLIENT_CERT=/path/to/client-cert.pem
export CLAUDE_CODE_CLIENT_KEY=/path/to/client-key.pem
export CLAUDE_CODE_CLIENT_KEY_PASSPHRASE="your-passphrase"

Stufe 4: WebFetch umgehen mit Bash-curl oder MCP

Wenn die ersten drei Stufen das Problem nicht lösen, ist der zuverlässigste Weg, WebFetch zu umgehen – lassen Sie Claude via Bash-Tool direkt curl verwenden oder binden Sie einen Drittanbieter-Fetch-MCP-Server ein.

Option A: Bash die Nutzung von curl/wget erlauben

{
  "permissions": {
    "allow": [
      "Bash(curl:*)",
      "Bash(wget:*)"
    ]
  }
}

Weisen Sie Claude im Chat an: "Bitte rufe den Inhalt der Startseite von www.weather.com.cn mit curl ab" – Claude überspringt WebFetch und nutzt direkt Bash. Dieser Pfad löst keinen Preflight aus; die Proxy-Konfiguration muss lediglich sicherstellen, dass die Zielseite erreichbar ist.

Option B: Einbindung von fetch-mcp oder Playwright MCP

# Installieren des Drittanbieter-Fetch-MCP-Servers
claude mcp add fetch npx -- @modelcontextprotocol/server-fetch

Netzwerkanfragen von MCP-Tools werden vom MCP-Server-Prozess selbst initiiert und durchlaufen nicht den Preflight-Pfad von Claude Code, was die Stabilität deutlich erhöht. Für dynamische Seiten, die JavaScript ausführen müssen, ist das Playwright MCP besser geeignet.

WebFetch Fehlerbehebungs-Matrix ★ Je mehr, desto besser · Achten Sie darauf, welche Spalte am dunkelsten ist

Bewertungsdimensionen

A. Proxy-Konfiguration HTTPS_PROXY

B. Vorautorisierung der Berechtigungen WebFetch(Domain)

C. Unternehmens-CA NODE_EXTRA_CA_CERTS

D. Umgehung von WebFetch Bash curl + MCP

Konfigurationsschwierigkeit ★★★★☆ ★★★★★ ★★☆☆☆ ★★★★☆

Lösung der Problembreite ★★★★★ ★★☆☆☆ ★★★☆☆ ★★★★★

Leistungsauswirkungen ★★★☆☆ ★★★★★ ★★★★☆ ★★★★☆

Unternehmens-Compliance ★★★☆☆ ★★★★★ ★★★★★ ★★★☆☆

Inländische Anpassung ★★★★☆ ★★★☆☆ ★★☆☆☆ ★★★★★

💡 Empfehlung für Nutzer in China: A (Proxy-Basis) + B (häufig verwendete Domain) + D (Fallback)

Praxis-Fehlerbehebung für Claude Code WebFetch

Nachdem wir die Theorie behandelt haben, schauen wir uns den vollständigen Lösungsprozess in drei realen Szenarien an.

Szenario 1: Web-Scraping von weather.com.cn auf einem MacBook in China (Screenshot-Szenario)

Phänomen: Der Befehl fetch für www.weather.com.cn meldet kontinuierlich "Unable to verify".

Schritte zur Fehlerbehebung:

# Schritt 1: Proxy-Status überprüfen
echo $HTTPS_PROXY  # Sollte z. B. http://127.0.0.1:7890 ausgeben

# Schritt 2: Manuelle Überprüfung, ob claude.ai erreichbar ist
curl -I https://claude.ai/code/ -x http://127.0.0.1:7890
# Wenn 403 + cf-mitigated zurückgegeben wird, blockiert Cloudflare – weiter zu Schritt 3
# Wenn 200 zurückgegeben wird, funktioniert der Preflight – Berechtigungen prüfen

# Schritt 3: Strategie in Claude Code wechseln – auf Bash + curl umstellen
# Sagen Sie im Chat einfach:
# "Verwende nicht WebFetch, sondern nutze curl, um die Startseite von http://www.weather.com.cn abzurufen"

Endgültige Konfiguration (~/.claude/settings.json):

{
  "env": {
    "HTTPS_PROXY": "http://127.0.0.1:7890",
    "HTTP_PROXY": "http://127.0.0.1:7890",
    "NO_PROXY": "localhost,127.0.0.1,api.apiyi.com,vip.apiyi.com"
  },
  "permissions": {
    "allow": [
      "WebFetch(domain:www.weather.com.cn)",
      "Bash(curl:*)",
      "Bash(wget:*)"
    ]
  }
}

🎯 Praxistipp für China: Die stabilste Kombination für Nutzer in China ist: „API über APIYI apiyi.com + WebFetch über Proxy + bei Bedarf Fallback auf curl“. Indem Sie die base_url von APIYI in NO_PROXY aufnehmen, werden API-Anfragen von Claude Code nicht über den Proxy umgeleitet, was Latenz und Stabilität auf das Niveau einer direkten Verbindung ins Ausland bringt.

Szenario 2: Firmenrechner + Zscaler TLS-Interception

Phänomen: WebFetch meldet SELF_SIGNED_CERT_IN_CHAIN oder UNABLE_TO_VERIFY_LEAF_SIGNATURE.

Lösung:

# Schritt 1: Firmen-Root-CA-Zertifikat von der IT anfordern (meist .pem oder .crt)
# Schritt 2: Claude Code anweisen, diesem CA zu vertrauen
export NODE_EXTRA_CA_CERTS=~/certs/company-zscaler-root.pem

# Schritt 3: Gleichzeitig dem System-Zertifikatsspeicher vertrauen (Zscaler ist dort meist schon hinterlegt)
export CLAUDE_CODE_CERT_STORE=bundled,system

# Schritt 4: Claude Code neu starten

Szenario 3: Headless-Ausführung in Docker / CI-Containern

Phänomen: Lokal funktioniert es, aber in der CI schlägt WebFetch zu 100 % fehl.

Ursache: Im Container gibt es weder einen Proxy noch einen Browser; der Bot-Schutz von Cloudflare erkennt den CLI-Client und verweigert die Verbindung.

Lösung: WebFetch in der CI deaktivieren und Bash erzwingen:

# .github/workflows/claude.yml oder ähnlich
env:
  CLAUDE_CODE_DISABLE_WEBFETCH: "true"  # Falls diese Umgebungsvariable aktiv ist

Oder über den Startparameter --disallowedTools:

claude --disallowedTools WebFetch --allowedTools "Bash(curl:*)"

🎯 Empfehlung für CI-Integration: Nutzen Sie in containerisierten Umgebungen einen stabilen API-Proxy-Dienst wie APIYI (apiyi.com), um CI-Fehler durch Netzwerkinstabilitäten im Ausland zu vermeiden. Wir empfehlen, in den Secrets von GitHub Actions / GitLab CI ANTHROPIC_BASE_URL=https://vip.apiyi.com + ANTHROPIC_API_KEY=sk-xxx zu hinterlegen. In Kombination mit der Deaktivierung von WebFetch lässt sich eine Stabilität von über 99 % für Claude Code CI-Aufgaben erreichen.

Engineering-Best-Practices bei WebFetch-Fehlern in Claude Code

Einen Demo-Lauf zum Erfolg zu führen ist einfach. Damit jedoch das gesamte Team Claude Code stabil nutzen kann, gibt es einige wichtige Punkte.

Praxis 1: Einheitliche managed-settings.json

Verteilen Sie eine einheitliche managed-settings.json an das Team, damit niemand selbst experimentieren muss:

{
  "env": {
    "HTTPS_PROXY": "http://corp-proxy:8080",
    "NODE_EXTRA_CA_CERTS": "/opt/company/ca.pem",
    "NO_PROXY": "*.corp.example.com,api.apiyi.com,vip.apiyi.com"
  },
  "permissions": {
    "allow": [
      "WebFetch(domain:*.corp.example.com)",
      "WebFetch(domain:github.com)",
      "WebFetch(domain:stackoverflow.com)",
      "Bash(curl:*)"
    ],
    "deny": [
      "WebFetch(domain:*)"
    ]
  },
  "allowManagedPermissionRulesOnly": true
}

Speicherorte der Datei:

Plattform	Pfad
macOS	`/Library/Application Support/ClaudeCode/managed-settings.json`
Linux	`/etc/claude-code/managed-settings.json`
Windows	`C:\ProgramData\ClaudeCode\managed-settings.json`

Praxis 2: Drei-Stufen-Fallback-Strategie

Definieren Sie in der CLAUDE.md klar die Prioritäten für die Werkzeugauswahl, damit Claude diese nacheinander ausprobiert:


## Priorisierung von Web-Scraping-Tools

1. Bevorzugt WebFetch (für vorab autorisierte Domains)
2. Falls WebFetch fehlschlägt, Fallback auf Bash-curl
3. Für dynamische Seiten Playwright MCP verwenden
4. Niemals `curl -k` verwenden, um Zertifikatsfehler zu ignorieren

Sobald dieser Text in die CLAUDE.md integriert ist, wechselt Claude bei WebFetch-Fehlern automatisch zu curl, was die Benutzererfahrung deutlich verbessert.


### Praxis-Tipp 3: Preflight-Healthcheck-Skript

Erstellen Sie ein schnelles Diagnoseskript, um Probleme vorab einzugrenzen:

```bash
#!/bin/bash
# claude-code-doctor.sh

echo "=== Umgebungsvariablen ==="
env | grep -iE "proxy|claude_code|node_extra"

echo "=== claude.ai Preflight-Test ==="
curl -sI -o /dev/null -w "HTTP %{http_code} · %{time_total}s\n" \
  https://claude.ai/code/

echo "=== api.anthropic.com Test ==="
curl -sI -o /dev/null -w "HTTP %{http_code} · %{time_total}s\n" \
  https://api.anthropic.com/

echo "=== APIYI Proxy-Test ==="
curl -sI -o /dev/null -w "HTTP %{http_code} · %{time_total}s\n" \
  https://vip.apiyi.com/

echo "=== DNS-Auflösung ==="
nslookup claude.ai

Wenn claude.ai/code/ den Fehler 403 mit dem Antwort-Header cf-mitigated zurückgibt, handelt es sich um ein typisches Cloudflare-Preflight-Problem – hier hilft direkt die Layer-4-Lösung.

🎯 Diagnose-Empfehlung: 80 % der Probleme mit Claude Code lassen sich mit diesem Diagnoseskript lokalisieren. Nutzern in China wird empfohlen, vip.apiyi.com als API-Proxy-Knoten in die Checkliste aufzunehmen – falls APIYI erreichbar ist, aber die offizielle Anthropic-Seite nicht, kann über den APIYI-Dienst (apiyi.com) weitergearbeitet werden, um Entwicklungsverzögerungen durch Netzwerkprobleme zu vermeiden.

Häufige Fragen zu WebFetch-Fehlern in Claude Code

F1: Warum sagt die Fehlermeldung "enterprise security policies blocking claude.ai", obwohl mein Unternehmen keine Sicherheitssoftware installiert hat?

Dies ist eine ungenaue Fehlermeldung von Anthropic. Tatsächlich blockiert der Cloudflare-Bot-Schutz vor claude.ai den Zugriff. Cloudflare identifiziert den CLI-Prozess als Bot und sendet eine JS-Challenge, die das CLI nicht lösen kann. Dies hat meist nichts mit den IT-Richtlinien Ihres Unternehmens zu tun.

F2: Kann der APIYI-Proxy WebFetch-Fehler beheben?

Nur teilweise. APIYI (apiyi.com) leitet lediglich API-Anfragen an api.anthropic.com weiter, wodurch Modellaufrufe und Tool-Entscheidungen stabil funktionieren. Der WebFetch-Preflight erfolgt jedoch gegen claude.ai (nicht api.anthropic.com), was APIYI nicht abdeckt – dies muss über einen lokalen Proxy gelöst werden. Empfehlung: Nutzen Sie APIYI für die API und einen Proxy für den Preflight.

F3: Gibt es eine Konfigurationsoption `skipWebFetchPreflight`?

Es gibt Diskussionen in der Community, aber Stand April 2026 ist dies offiziell nicht dokumentiert. Im GitHub-Issue #39896 wird dies als gewünschtes Feature genannt. Bis zur offiziellen Unterstützung wird empfohlen, die Layer-4-Lösung (Bash curl + autorisierte Domains) zu verwenden, um das Problem zu umgehen.

F4: Ich habe einen globalen Clash-Proxy aktiviert, warum schlägt WebFetch trotzdem fehl?

Der globale Proxy-Modus von Clash setzt nicht automatisch Umgebungsvariablen. Claude Code ist ein Node.js-CLI-Prozess, der nur Umgebungsvariablen wie HTTPS_PROXY liest und keine Systemeinstellungen erkennt. Sie müssen die Proxy-Variablen explizit in Ihrem Shell-Profil exportieren oder im env-Block der ~/.claude/settings.json hinterlegen.

F5: WebFetch war erfolgreich, aber das Ergebnis ist unvollständig?

Dies liegt am max_content_tokens-Limit von Claude Code. In den Berechtigungsregeln lässt sich dies nicht anpassen. Wenn Sie jedoch das web_fetch-Tool direkt über die Claude API (statt über das CLI) aufrufen, können Sie "max_content_tokens": 100000 setzen, um mehr Inhalt pro Seite abzurufen. Hierbei ist die direkte Anbindung über APIYI (apiyi.com) aufgrund der höheren Flexibilität empfehlenswert.

F6: Kann man WebFetch komplett deaktivieren, um Fehler zu vermeiden?

Ja. Starten Sie das Tool mit dem Parameter:

claude --disallowedTools WebFetch

Oder in der settings.json:

{
  "permissions": {
    "deny": ["WebFetch"]
  }
}

In Kombination mit der Erlaubnis für Bash(curl:*) wechselt Claude automatisch zu curl, was für viele Nutzer oft zuverlässiger funktioniert.

F7: Wie konfiguriere ich Claude Code für GitHub Actions / GitLab CI?

In CI-Containern ist es zu 100 % empfehlenswert, WebFetch zu deaktivieren – da Container keine Browser-Umgebung haben, schlägt der Preflight fast immer fehl. Leiten Sie zudem die API-Anfragen an den stabilen Knoten von APIYI (apiyi.com) um:

env:
  ANTHROPIC_BASE_URL: https://vip.apiyi.com
  ANTHROPIC_API_KEY: ${{ secrets.APIYI_KEY }}
  CLAUDE_CODE_DISALLOWED_TOOLS: "WebFetch"

Zusammenfassung der Claude Code WebFetch-Fehler und Aktionsplan

Rückblickend liegt die Ursache für Claude Code WebFetch-Fehler in den Designbeschränkungen von Cloudflare Preflight + CLI ohne Browser und nicht an Ihrem Netzwerk oder Ihrer IT-Richtlinie. Kurz zusammengefasst:

✅ Die drei Säulen für Anwender in China: API-Aufrufe über APIYI (apiyi.com) + lokaler Proxy für claude.ai Preflight + Bash curl als Fallback. Damit lassen sich 90 % der WebFetch-Fehler umgehen.

Aktionsplan für die Umsetzung

Führen Sie die folgenden 5 Schritte nach Priorität aus:

Proxy konfigurieren: Setzen Sie HTTPS_PROXY + HTTP_PROXY und fügen Sie die APIYI-Domain zu NO_PROXY hinzu.
Domains vorab autorisieren: Fügen Sie häufig aufgerufene Websites in die permissions.allow unter WebFetch(domain:...) ein.
Unternehmens-CA verarbeiten: Falls Sie sich in einer Zscaler/CrowdStrike-Umgebung befinden, konfigurieren Sie NODE_EXTRA_CA_CERTS.
Fallback vorbereiten: Erlauben Sie Bash(curl:*), damit Claude bei Blockaden automatisch umschalten kann.
Skript zur Gesundheitsprüfung: Fügen Sie claude-code-doctor.sh in die Toolchain Ihres Teams ein.

Best Practices für inländische Nutzer · Architektur mit geteilten Pfaden und Ebenen Entkopplung von API-Pfad und WebFetch-Pfad · gegenseitige Unabhängigkeit

Entwickler-lokal Claude Code CLI NO_PROXY-Konfiguration: api.APIYI.com

① API-Pfad APIYI transparenter API-Proxy-Dienst vip.apiyi.com (Direktverbindung)

② Preflight-Pfad Lokaler Proxy 127.0.0.1:7890

③ Fallback Bash(curl:*) Direktverbindung zur Zielseite

Anthropic API api.anthropic.com Modellinferenz + Werkzeugentscheidung

claude.ai/code/ Domain-Validierungs-Endpunkt (Cloudflare-Schutz)

Ziel-Website weather.com.cn usw. Direktverbindung (kein Preflight erforderlich)

über NO_PROXY gehen Über API-Proxy-Dienst laufen ② Im Falle eines Fehlers

💡 Drei Pfade laufen unabhängig · Das Scheitern eines einzelnen Pfades blockiert die anderen nicht · Gesamtsicherheit > 99%

🎯 Abschließende Empfehlung: Die Netzwerkprobleme von Claude Code sind ein Systemproblem mit mehrschichtiger Kopplung – Proxy, Zertifikate, Berechtigungsregeln und Tool-Prioritäten sind gleichermaßen wichtig. Wir empfehlen, zuerst den Pfad für Modellaufrufe über APIYI (apiyi.com) zu etablieren (da hier die SLA am besten kontrollierbar ist) und anschließend schichtweise die Preflight- und CA-Probleme von WebFetch zu lösen. Die Plattform unterstützt alle Claude-Modelle sowie native Tools und erleichtert die schnelle Überprüfung jeder Konfigurationsebene.

Autor: APIYI Technik-Team | Weitere Praxis-Tutorials zu Claude Code finden Sie unter help.apiyi.com