HTTP-Header für orf.at
Die sechs wichtigsten Security-Header — gesetzt oder nicht?
Security-Header
HTTP 200HSTS verhindert SSL-Stripping. Empfohlen: max-age=31536000; includeSubDomains
CSP — wichtigster Schutz gegen XSS.
Schuetzt vor Clickjacking. DENY oder SAMEORIGIN.
Sollte "nosniff" sein — verhindert MIME-Sniffing.
strict-origin-when-cross-origin oder strenger.
Schaltet unerwünschte Browser-Features ab (Geolocation, Mikrofon, etc.).
Befunde (1)
- →Header fehlt: X-Frame-Options
Was sind HTTP-Security-Header?
HTTP-Security-Header sind kleine Anweisungen, die dein Webserver mit jeder Antwort an den Browser mitschickt. Sie sagen dem Browser, wie er die Webseite behandeln soll — beispielsweise: "Lass keine fremden Skripte zu" (CSP), "Lade mich nie als iframe" (X-Frame-Options) oder "Sprich mit mir nur über HTTPS" (HSTS).
Die sechs hier geprüften Header decken die wichtigsten Angriffsklassen ab: HSTS verhindert SSL-Stripping bei Man-in-the-Middle-Angriffen. CSP ist die wichtigste Verteidigung gegen Cross-Site-Scripting (XSS). X-Frame-Options blockt Clickjacking. X-Content-Type-Options verhindert MIME-Sniffing-Angriffe. Referrer-Policy kontrolliert, welche Informationen beim Klick auf externe Links übertragen werden. Permissions-Policy regelt, welche Browser-Features (Geolocation, Mikrofon, Kamera) auf der Seite erlaubt sind.
Header werden in der Webserver-Konfiguration gesetzt — bei nginx in
add_header, bei Apache in
Header set, bei Cloudflare über
"Transform Rules". Bei Frameworks wie Flask oder Express gibt es Helm-Pakete (z. B.
flask-talisman), die alles
mit sinnvollen Defaults konfigurieren.
Ergebnis für orf.at
Von den 6 wichtigen Security-Headern setzt orf.at
aktuell 5. Antwort-Status:
HTTP 200.
Fehlend: X-Frame-Options. Setze diese im Webserver oder über das CMS/CDN, dann steigt der Score von orf.at unmittelbar.
Weitere HTTP-Header-Ergebnisse
Vergleichswerte aus dem Cache — andere kürzlich geprüfte Domains.
Häufige Fragen zu
Wie viele Security-Header setzt orf.at? +
orf.at setzt aktuell 5 von 6 wichtigen HTTP-Security-Headern. Jeder fehlende Header entspricht einer Lücke gegenüber XSS, Clickjacking oder MIME-Sniffing.
Welche Security-Header fehlen auf orf.at? +
Auf orf.at fehlen aktuell: X-Frame-Options. Diese lassen sich serverseitig (nginx/Apache) oder im CMS/CDN nachsetzen, ohne Code-Änderungen am Frontend.
Werden die Ergebnisse zu orf.at gespeichert? +
Tool-Ergebnisse werden 24 Stunden gecached, damit häufig geprüfte Domains nicht jede Anfrage erneut abrufen. Personenbezogene Daten werden dabei nicht verarbeitet — nur öffentlich abrufbare DNS-, Header- und Zertifikatsdaten.
Auch für orf.at prüfen
SSL/TLS-Zertifikat, Restlaufzeit, Cipher.
SPF, DMARC, DKIM und MX-Records.
A, AAAA, MX, NS, TXT, CAA, SOA.
Registrar, Ablaufdatum, Status, Nameserver.
20 gängige TCP-Ports, kritische rot markiert.
Set-Cookie-Header, Flags, Tracking-Erkennung.
Hintergrund im Lexikon
Die Content-Security-Policy ist der wichtigste Browser-seitige Schutz gegen XSS. Hier erfaehrst du, wie eine CSP aufgebaut ist und wie du si…
HSTS (Strict-Transport-Security) zwingt Browser dauerhaft auf HTTPS. Hier erfaehrst du, wie der Header aufgebaut ist, was includeSubDomains …
X-Frame-Options verhindert Clickjacking-Angriffe, indem es regelt, ob deine Webseite in einem iframe eingebettet werden darf. Werte DENY, SA…
Die Referrer-Policy regelt, welche Informationen beim Klick auf externe Links uebertragen werden. Werte, Privacy-Auswirkungen und sichere De…
Die Permissions-Policy schaltet Browser-Features wie Geolocation, Mikrofon, Kamera und FLoC selektiv ab. Aufbau, alle Direktiven und Default…
X-Content-Type-Options: nosniff verhindert, dass Browser den MIME-Type von Dateien selbst raten. Schutz gegen Cross-Site-Scripting und Drive…
Secure, HttpOnly und SameSite — die drei wichtigsten Cookie-Flags und wozu sie da sind. Wie du Sessions gegen XSS, MITM und CSRF absicherst.
Vollständiger Sicherheits-Audit für orf.at
SSL, Header, DNS, E-Mail, DSGVO, CMS und CVEs in einem Bericht.
Geprüft am 09.06.2026 22:35 Uhr · Aus Cache (24 h-TTL)