Skip to main content

HTTP-Header für magenta.at

Die sechs wichtigsten Security-Header — gesetzt oder nicht?

Security-Header

HTTP 200
Strict-Transport-Security ✓ gesetzt
max-age=31556926; includeSubDomains; preload

HSTS verhindert SSL-Stripping. Empfohlen: max-age=31536000; includeSubDomains

Content-Security-Policy ✓ gesetzt
default-src 'self' https://*.magenta.at; upgrade-insecure-requests; report-to csp-endpoint; script-src 'self' 'unsafe-eval' 'unsafe-inline' https://*.magenta.at https://*.t-mobile.at https://*.magentabusiness.at https://*.s-budget-mobile.at https://*.esp.ownsolutions.net https://magenta-at.cleverq.de https://*.youtube.com https://*.youtube-nocookie.com https://eu-dg.knowmax.ai https://*.google.com https://*.google.de https://*.googletagmanager.com https://googletagmanager.com https://tagmanager.google.com https://*.google-analytics.com https://*.googleapis.com https://*.gstatic.com https://*.tiktok.com https://*.licdn.com https://*.sc-static.net https://*.clarity.ms https://*.crwdcntrl.net https://*.cookielaw.org https://*.cookiebot.com https://*.googleadservices.com https://*.doubleclick.net https://*.medallia.eu https://*.krxd.net https://*.snapchat.com https://*.usercentrics.eu https://*.facebook.com https://*.facebook.net https://*.readpeak.com https://*.evergage.com https://*.bing.com https://*.teads.tv https://*.adnxs.com https://*.fusedeck.net https://*.pinimg.com https://*.sprinklr.com https://*.hotjar.com https://*.googlesyndication.com https://*.evgnet.com https://siteimproveanalytics.com https://sc-static.net https://form.virtualq.tech https://magenta.jobbase.io https://cdn.jsdelivr.net https://magenta.onlyfy.jobs https://cdn.ablyft.com; img-src 'self' https://*.magenta.at https://*.t-mobile.at https://*.s-budget-mobile.at https://*.magentabusiness.at blob: data: https://*.google-analytics.com https://*.tiktok.com https://*.googletagmanager.com https://*.googleadservices.com https://*.googlesyndication.com https://www.google.de https://*.google.de https://www.google.com https://*.google.at https://*.gstatic.com https://*.googleapis.com https://*.google.com https://*.doubleclick.net https://*.licdn.com https://*.clarity.ms https://*.siteimproveanalytics.io https://*.snapchat.com https://*.facebook.com https://*.facebook.net https://*.readpeak.com https://*.senderinfo.de https://*.teads.tv https://*.adnxs.com https://*.fusedeck.net https://*.youtube.com https://*.youtube-nocookie.com https://*.medallia.eu https://*.linkedin.com https://*.usercentrics.eu https://*.bing.com https://*.s3.eu-central-1.amazonaws.com https://magenta.jobbase.io https://magenta.onlyfy.jobs; connect-src 'self' https://*.magenta.at https://*.t-mobile.at https://*.s-budget-mobile.at https://*.magentabusiness.at https://*.google-analytics.com https://*.googlesyndication.com https://*.googleadservices.com https://*.tiktokw.us https://google.com https://*.googletagmanager.com https://*.google.com https://*.googleapis.com https://*.doubleclick.net https://*.tiktok.com https://*.bing.com https://*.licdn.com https://*.clarity.ms https://*.crwdcntrl.net https://*.cookielaw.org https://*.cookiebot.com https://*.snapchat.com https://*.usercentrics.eu https://*.facebook.com https://*.facebook.net https://*.readpeak.com https://*.teads.tv https://*.hotjar.io wss://*.hotjar.com https://*.hotjar.com https://*.adnxs.com wss://*.fusedeck.net https://*.fusedeck.net https://*.pinterest.com wss://*.sprinklr.com https://*.sprinklr.com https://*.linkedin.com https://*.medallia.eu https://tmobileaustria.germany-2.evergage.com https://*.senderinfo.de https://*.usercentrics.eu https://*.bing.com https://form.virtualq.tech https://magenta.jobbase.io https://magenta.onlyfy.jobs; form-action 'self' https://*.magenta.at https://*.t-mobile.at https://*.s-budget-mobile.at https://*.magentabusiness.at https://*.facebook.com https://*.facebook.net https://form.virtualq.tech; media-src 'self' https://*.magenta.at https://*.t-mobile.at https://*.s-budget-mobile.at https://*.magentabusiness.at blob: data: https://*.sprinklr.com https://*.senderinfo.de; frame-src 'self' https://*.magenta.at https://*.t-mobile.at https://*.s-budget-mobile.at https://*.magentabusiness.at https://*.googletagmanager.com https://*.google.com https://google.com https://*.googleapis.com https://*.doubleclick.net https://*.clarity.ms https://*.usercentrics.eu https://eu-dg.knowmax.ai https://*.licdn.com https://*.sprinklr.com https://*.bing.com https://*.readpeak.com https://*.medallia.eu https://*.snapchat.com https://*.usercentrics.eu https://*.youtube.com https://*.youtube-nocookie.com https://magenta-shopfinder.pgsdemo.com https://*.adnxs.com https://magenta-at.cleverq.de https://app.wigeogis.com https://form.virtualq.tech https://magenta.onlyfy.jobs https://iot-map-interactive.typix.de https://iot-map2-interactive.typix.de; frame-ancestors 'self' https://*.magenta.at https://*.t-mobile.at https://*.s-budget-mobile.at https://*.magentabusiness.at; object-src 'none'; style-src 'self' 'unsafe-inline' https://*.magenta.at https://*.t-mobile.at https://*.s-budget-mobile.at https://fonts.googleapis.com https://form.virtualq.tech; font-src 'self' https://*.magenta.at https://*.t-mobile.at https://*.s-budget-mobile.at https://fonts.googleapis.com https://fonts.gstatic.com data:

CSP — wichtigster Schutz gegen XSS.

X-Frame-Options ✗ fehlt

Schuetzt vor Clickjacking. DENY oder SAMEORIGIN.

X-Content-Type-Options ✓ gesetzt
NOSNIFF

Sollte "nosniff" sein — verhindert MIME-Sniffing.

Referrer-Policy ✗ fehlt

strict-origin-when-cross-origin oder strenger.

Permissions-Policy ✗ fehlt

Schaltet unerwünschte Browser-Features ab (Geolocation, Mikrofon, etc.).

Befunde (3)

  • Header fehlt: X-Frame-Options
  • Header fehlt: Referrer-Policy
  • Header fehlt: Permissions-Policy

Was sind HTTP-Security-Header?

HTTP-Security-Header sind kleine Anweisungen, die dein Webserver mit jeder Antwort an den Browser mitschickt. Sie sagen dem Browser, wie er die Webseite behandeln soll — beispielsweise: "Lass keine fremden Skripte zu" (CSP), "Lade mich nie als iframe" (X-Frame-Options) oder "Sprich mit mir nur über HTTPS" (HSTS).

Die sechs hier geprüften Header decken die wichtigsten Angriffsklassen ab: HSTS verhindert SSL-Stripping bei Man-in-the-Middle-Angriffen. CSP ist die wichtigste Verteidigung gegen Cross-Site-Scripting (XSS). X-Frame-Options blockt Clickjacking. X-Content-Type-Options verhindert MIME-Sniffing-Angriffe. Referrer-Policy kontrolliert, welche Informationen beim Klick auf externe Links übertragen werden. Permissions-Policy regelt, welche Browser-Features (Geolocation, Mikrofon, Kamera) auf der Seite erlaubt sind.

Header werden in der Webserver-Konfiguration gesetzt — bei nginx in add_header, bei Apache in Header set, bei Cloudflare über "Transform Rules". Bei Frameworks wie Flask oder Express gibt es Helm-Pakete (z. B. flask-talisman), die alles mit sinnvollen Defaults konfigurieren.

Auch für magenta.at prüfen

SSL-Check geprüft

SSL/TLS-Zertifikat, Restlaufzeit, Cipher.
DMARC-Lookup geprüft

SPF, DMARC, DKIM und MX-Records.
DNS-Lookup geprüft

A, AAAA, MX, NS, TXT, CAA, SOA.
Whois/RDAP geprüft

Registrar, Ablaufdatum, Status, Nameserver.
Port-Scan geprüft

20 gängige TCP-Ports, kritische rot markiert.
Cookie-Audit geprüft

Set-Cookie-Header, Flags, Tracking-Erkennung.

Hintergrund im Lexikon

CSP erklärt csp

Die Content-Security-Policy ist der wichtigste Browser-seitige Schutz gegen XSS. Hier erfaehrst du, wie eine CSP aufgebaut ist und wie du si…
HSTS erklärt hsts

HSTS (Strict-Transport-Security) zwingt Browser dauerhaft auf HTTPS. Hier erfaehrst du, wie der Header aufgebaut ist, was includeSubDomains …
X-Frame-Options erklärt x-frame-options

X-Frame-Options verhindert Clickjacking-Angriffe, indem es regelt, ob deine Webseite in einem iframe eingebettet werden darf. Werte DENY, SA…
Referrer-Policy erklärt referrer-policy

Die Referrer-Policy regelt, welche Informationen beim Klick auf externe Links uebertragen werden. Werte, Privacy-Auswirkungen und sichere De…
Permissions-Policy erklärt permissions-policy

Die Permissions-Policy schaltet Browser-Features wie Geolocation, Mikrofon, Kamera und FLoC selektiv ab. Aufbau, alle Direktiven und Default…
MIME-Sniffing & X-Content-Type-Options erklärt mime-sniffing

X-Content-Type-Options: nosniff verhindert, dass Browser den MIME-Type von Dateien selbst raten. Schutz gegen Cross-Site-Scripting und Drive…
Cookie-Flags erklärt cookie-flags

Secure, HttpOnly und SameSite — die drei wichtigsten Cookie-Flags und wozu sie da sind. Wie du Sessions gegen XSS, MITM und CSRF absicherst.

Vollständiger Sicherheits-Audit für magenta.at

SSL, Header, DNS, E-Mail, DSGVO, CMS und CVEs in einem Bericht.

Geprüft am 14.05.2026 22:02 Uhr · Aus Cache (24 h-TTL)