Skip to main content

HTTP-Header für cloudflare.com

Die sechs wichtigsten Security-Header — gesetzt oder nicht?

Security-Header

HTTP 200
Strict-Transport-Security ✓ gesetzt
max-age=31536000; includeSubDomains

HSTS verhindert SSL-Stripping. Empfohlen: max-age=31536000; includeSubDomains

Content-Security-Policy ✓ gesetzt
default-src 'self'; script-src 'self' 'unsafe-inline' 'unsafe-eval' https://static.cloudflareinsights.com https://static-staging.cloudflareinsights.com https://challenges.cloudflare.com https://*.onetrust.com https://cdn.cookielaw.org https://ot.www.cloudflare.com https://www.googletagmanager.com https://tagmanager.google.com https://www.googleadservices.com https://googleads.g.doubleclick.net https://adservice.google.com https://cdn.bizible.com https://js.adsrvr.org https://*.marketo.net https://platform.twitter.com https://static.ads-twitter.com https://scripts.demandbase.com https://tag.demandbase.com https://*.6sc.co https://*.qualified.com https://snap.licdn.com https://bat.bing.com; style-src 'self' 'unsafe-inline'; img-src 'self' data: https:; font-src 'self' data:; connect-src 'self' https://*.googletagmanager.com https://*.google-analytics.com https://*.analytics.google.com https://analytics.google.com https://*.doubleclick.net https://www.googleadservices.com https://translate.googleapis.com https://cdn.bizible.com https://js.adsrvr.org https://*.marketo.net https://ads-twitter.com https://analytics.twitter.com https://*.twimg.com https://api.demandbase.com https://scripts.demandbase.com https://tag.demandbase.com https://tag-logger.demandbase.com https://api.company-target.com https://*.6sc.co https://epsilon.6sense.com https://*.qualified.com wss://*.qualified.com https://*.ads.linkedin.com https://www.linkedin.com https://bat.bing.com https:; frame-src https://*.adsrvr.org https://*.cloudflare.com https://*.videodelivery.net https://www.googletagmanager.com https://*.qualified.com https://td.doubleclick.net https://bid.g.doubleclick.net https://9309168.fls.doubleclick.net https://9973066.fls.doubleclick.net https://s.company-target.com; object-src 'none'; base-uri 'self'; form-action 'self'; frame-ancestors 'none'; worker-src 'self' blob:; child-src 'self' blob:; upgrade-insecure-requests

CSP — wichtigster Schutz gegen XSS.

X-Frame-Options ✓ gesetzt
SAMEORIGIN

Schuetzt vor Clickjacking. DENY oder SAMEORIGIN.

X-Content-Type-Options ✓ gesetzt
nosniff

Sollte "nosniff" sein — verhindert MIME-Sniffing.

Referrer-Policy ✓ gesetzt
strict-origin-when-cross-origin

strict-origin-when-cross-origin oder strenger.

Permissions-Policy ✓ gesetzt
geolocation=(), camera=(), microphone=()

Schaltet unerwünschte Browser-Features ab (Geolocation, Mikrofon, etc.).

Status

  • Alle wichtigen Security-Header sind gesetzt.

Was sind HTTP-Security-Header?

HTTP-Security-Header sind kleine Anweisungen, die dein Webserver mit jeder Antwort an den Browser mitschickt. Sie sagen dem Browser, wie er die Webseite behandeln soll — beispielsweise: "Lass keine fremden Skripte zu" (CSP), "Lade mich nie als iframe" (X-Frame-Options) oder "Sprich mit mir nur über HTTPS" (HSTS).

Die sechs hier geprüften Header decken die wichtigsten Angriffsklassen ab: HSTS verhindert SSL-Stripping bei Man-in-the-Middle-Angriffen. CSP ist die wichtigste Verteidigung gegen Cross-Site-Scripting (XSS). X-Frame-Options blockt Clickjacking. X-Content-Type-Options verhindert MIME-Sniffing-Angriffe. Referrer-Policy kontrolliert, welche Informationen beim Klick auf externe Links übertragen werden. Permissions-Policy regelt, welche Browser-Features (Geolocation, Mikrofon, Kamera) auf der Seite erlaubt sind.

Header werden in der Webserver-Konfiguration gesetzt — bei nginx in add_header, bei Apache in Header set, bei Cloudflare über "Transform Rules". Bei Frameworks wie Flask oder Express gibt es Helm-Pakete (z. B. flask-talisman), die alles mit sinnvollen Defaults konfigurieren.

Ergebnis für cloudflare.com

Von den 6 wichtigen Security-Headern setzt cloudflare.com aktuell 6. Antwort-Status: HTTP 200.

Alle geprüften Security-Header sind auf cloudflare.com gesetzt — sehr gute Basis-Härtung.

Weitere HTTP-Header-Ergebnisse

Vergleichswerte aus dem Cache — andere kürzlich geprüfte Domains.

erstebank.at 3/6

3 Befunde

tu-wien.at 3/6

3 Befunde

n26.com 5/6

1 Befund

spiegel.de 2/6

4 Befunde

t3n.de 0/6

6 Befunde

krone.at 1/6

5 Befunde

Häufige Fragen zu

Wie viele Security-Header setzt cloudflare.com? +

cloudflare.com setzt aktuell 6 von 6 wichtigen HTTP-Security-Headern. Jeder fehlende Header entspricht einer Lücke gegenüber XSS, Clickjacking oder MIME-Sniffing.

Werden die Ergebnisse zu cloudflare.com gespeichert? +

Tool-Ergebnisse werden 24 Stunden gecached, damit häufig geprüfte Domains nicht jede Anfrage erneut abrufen. Personenbezogene Daten werden dabei nicht verarbeitet — nur öffentlich abrufbare DNS-, Header- und Zertifikatsdaten.

Auch für cloudflare.com prüfen

SSL-Check geprüft

SSL/TLS-Zertifikat, Restlaufzeit, Cipher.
DMARC-Lookup geprüft

SPF, DMARC, DKIM und MX-Records.
DNS-Lookup geprüft

A, AAAA, MX, NS, TXT, CAA, SOA.
Whois/RDAP geprüft

Registrar, Ablaufdatum, Status, Nameserver.
Port-Scan geprüft

20 gängige TCP-Ports, kritische rot markiert.
Cookie-Audit geprüft

Set-Cookie-Header, Flags, Tracking-Erkennung.

Hintergrund im Lexikon

CSP erklärt csp

Die Content-Security-Policy ist der wichtigste Browser-seitige Schutz gegen XSS. Hier erfaehrst du, wie eine CSP aufgebaut ist und wie du si…
HSTS erklärt hsts

HSTS (Strict-Transport-Security) zwingt Browser dauerhaft auf HTTPS. Hier erfaehrst du, wie der Header aufgebaut ist, was includeSubDomains …
X-Frame-Options erklärt x-frame-options

X-Frame-Options verhindert Clickjacking-Angriffe, indem es regelt, ob deine Webseite in einem iframe eingebettet werden darf. Werte DENY, SA…
Referrer-Policy erklärt referrer-policy

Die Referrer-Policy regelt, welche Informationen beim Klick auf externe Links uebertragen werden. Werte, Privacy-Auswirkungen und sichere De…
Permissions-Policy erklärt permissions-policy

Die Permissions-Policy schaltet Browser-Features wie Geolocation, Mikrofon, Kamera und FLoC selektiv ab. Aufbau, alle Direktiven und Default…
MIME-Sniffing & X-Content-Type-Options erklärt mime-sniffing

X-Content-Type-Options: nosniff verhindert, dass Browser den MIME-Type von Dateien selbst raten. Schutz gegen Cross-Site-Scripting und Drive…
Cookie-Flags erklärt cookie-flags

Secure, HttpOnly und SameSite — die drei wichtigsten Cookie-Flags und wozu sie da sind. Wie du Sessions gegen XSS, MITM und CSRF absicherst.

Vollständiger Sicherheits-Audit für cloudflare.com

SSL, Header, DNS, E-Mail, DSGVO, CMS und CVEs in einem Bericht.

Geprüft am 09.06.2026 22:33 Uhr · Aus Cache (24 h-TTL)