HTTP-Header für sparkasse.de

Die sechs wichtigsten Security-Header — gesetzt oder nicht?

Security-Header

HTTP 200

Strict-Transport-Security ✓ gesetzt

max-age=31536000; includeSubDomains; preload

HSTS verhindert SSL-Stripping. Empfohlen: max-age=31536000; includeSubDomains

Content-Security-Policy ✓ gesetzt

default-src 'self' amazon-adsystem.com *.amazon-adsystem.com paa-reporting-advertising.amazon *.paa-reporting-advertising.amazon; script-src 'unsafe-inline' 'unsafe-eval' 'self' www.googletagmanager.com www.yellowmap.de cdn.yellowmap.de cdn.trustcommander.net www.youtube.com www.google-analytics.com *.doubleclick.net connect.facebook.net assets.adobedtm.com adobedc.demdex.net edge.adobedc.net *.adform.net static.hotjar.com script.hotjar.com *.amazon-adsystem.com t23.intelliad.de *.outbrain.com *.helixjobs.com bt.fraud0.com *.fraud0.com; style-src 'self' 'unsafe-inline' cdn.yellowmap.de static.hotjar.com script.hotjar.com *.helixjobs.com; connect-src 'self' *.sparkasse.de autocomplete.smartmaps.cloud events.flagship.io *.yellowmap.de *.trustcommander.net *.commander1.com *.google-analytics.com *.analytics.google.com *.doubleclick.net *.sparkassen-finanzportal.de eu-api.friendlycaptcha.eu www.facebook.com assets.adobedtm.com adobedc.demdex.net edge.adobedc.net *.hotjar.com *.hotjar.io wss://*.hotjar.com www.google.com/ccm/collect *.paa-reporting-advertising.amazon *.amazon-adsystem.com *.sentry.io api.sparkassen-mediacenter.de cdn.sparkassen-mediacenter.de sparkassen-mediacenter.de *.outbrain.com *.fraud0.com; img-src data: 'self' 'unsafe-inline' i.ytimg.com map.iib-institut.de *.yellowmaps.eu tiles.smartmaps.cloud www.yellowmap.de *.sparkasse.de *.trustcommander.net *.commander1.com img.youtube.com *.google-analytics.com *.analytics.google.com www.googletagmanager.com www.google.com www.google.de api.sparkassen-mediacenter.de kvp-skmc.dbc-gmbh.com *.doubleclick.net images.podigee-cdn.net feeds.sparkassen-finanzportal.de events.flagship.io www.facebook.com widgets.kununu.com assets.kununu.com alias.maptoolkit.net cdn.sparkassen-mediacenter.de static.hotjar.com script.hotjar.com survey-images.hotjar.com api.immobilie1.de cdn.immobilie1.de *.outbrain.com *.fraud0.com portal.fio.de cdnihddipa.cloudimg.io; media-src 'self' blob: api.sparkassen-mediacenter.de cdn.sparkassen-mediacenter.de sparkassen-mediacenter.de kvp-skmc.dbc-gmbh.com youtu.be www.youtube.com youtube.com; frame-src data: 'self' cdn.trustcommander.net widget.civey.com sparkasse.linda-chatbot.de www.youtube.com player.podigee-cdn.net td.doubleclick.net www.googletagmanager.com s-tag.sparkasse.de *.amazon-adsystem.com *.helixjobs.com; font-src data: 'self' webfonts.sparkasse.de cdn.yellowmap.de *.hotjar.com; object-src 'self'; manifest-src 'self'; worker-src 'self' blob:; frame-ancestors 'none';

CSP — wichtigster Schutz gegen XSS.

X-Frame-Options ✗ fehlt

Schuetzt vor Clickjacking. DENY oder SAMEORIGIN.

X-Content-Type-Options ✓ gesetzt

nosniff

Sollte "nosniff" sein — verhindert MIME-Sniffing.

Referrer-Policy ✓ gesetzt

origin

strict-origin-when-cross-origin oder strenger.

Permissions-Policy ✓ gesetzt

fullscreen=(self "https://www.youtube.com" "https://youtu.be"), geolocation=(self), camera=(), microphone=()

Schaltet unerwünschte Browser-Features ab (Geolocation, Mikrofon, etc.).

Befunde (1)

→Header fehlt: X-Frame-Options

Was sind HTTP-Security-Header?

HTTP-Security-Header sind kleine Anweisungen, die dein Webserver mit jeder Antwort an den Browser mitschickt. Sie sagen dem Browser, wie er die Webseite behandeln soll — beispielsweise: "Lass keine fremden Skripte zu" (CSP), "Lade mich nie als iframe" (X-Frame-Options) oder "Sprich mit mir nur über HTTPS" (HSTS).

Die sechs hier geprüften Header decken die wichtigsten Angriffsklassen ab: HSTS verhindert SSL-Stripping bei Man-in-the-Middle-Angriffen. CSP ist die wichtigste Verteidigung gegen Cross-Site-Scripting (XSS). X-Frame-Options blockt Clickjacking. X-Content-Type-Options verhindert MIME-Sniffing-Angriffe. Referrer-Policy kontrolliert, welche Informationen beim Klick auf externe Links übertragen werden. Permissions-Policy regelt, welche Browser-Features (Geolocation, Mikrofon, Kamera) auf der Seite erlaubt sind.

Header werden in der Webserver-Konfiguration gesetzt — bei nginx in add_header, bei Apache in Header set, bei Cloudflare über "Transform Rules". Bei Frameworks wie Flask oder Express gibt es Helm-Pakete (z. B. flask-talisman), die alles mit sinnvollen Defaults konfigurieren.

Auch für sparkasse.de prüfen

SSL-Check geprüft

SSL/TLS-Zertifikat, Restlaufzeit, Cipher.

DMARC-Lookup geprüft

SPF, DMARC, DKIM und MX-Records.

DNS-Lookup geprüft

A, AAAA, MX, NS, TXT, CAA, SOA.

Whois/RDAP geprüft

Registrar, Ablaufdatum, Status, Nameserver.

Port-Scan geprüft

20 gängige TCP-Ports, kritische rot markiert.

Cookie-Audit geprüft

Set-Cookie-Header, Flags, Tracking-Erkennung.

Hintergrund im Lexikon

CSP erklärt csp

Die Content-Security-Policy ist der wichtigste Browser-seitige Schutz gegen XSS. Hier erfaehrst du, wie eine CSP aufgebaut ist und wie du si…

HSTS erklärt hsts

HSTS (Strict-Transport-Security) zwingt Browser dauerhaft auf HTTPS. Hier erfaehrst du, wie der Header aufgebaut ist, was includeSubDomains …

X-Frame-Options erklärt x-frame-options

X-Frame-Options verhindert Clickjacking-Angriffe, indem es regelt, ob deine Webseite in einem iframe eingebettet werden darf. Werte DENY, SA…

Referrer-Policy erklärt referrer-policy

Die Referrer-Policy regelt, welche Informationen beim Klick auf externe Links uebertragen werden. Werte, Privacy-Auswirkungen und sichere De…

Permissions-Policy erklärt permissions-policy

Die Permissions-Policy schaltet Browser-Features wie Geolocation, Mikrofon, Kamera und FLoC selektiv ab. Aufbau, alle Direktiven und Default…

MIME-Sniffing & X-Content-Type-Options erklärt mime-sniffing

X-Content-Type-Options: nosniff verhindert, dass Browser den MIME-Type von Dateien selbst raten. Schutz gegen Cross-Site-Scripting und Drive…

Cookie-Flags erklärt cookie-flags

Secure, HttpOnly und SameSite — die drei wichtigsten Cookie-Flags und wozu sie da sind. Wie du Sessions gegen XSS, MITM und CSRF absicherst.

Vollständiger Sicherheits-Audit für sparkasse.de

SSL, Header, DNS, E-Mail, DSGVO, CMS und CVEs in einem Bericht.

Geprüft am 14.05.2026 22:05 Uhr · Aus Cache (24 h-TTL)