HTTP-Header für uniqa.at

Die sechs wichtigsten Security-Header — gesetzt oder nicht?

Security-Header

HTTP 200

Strict-Transport-Security ✓ gesetzt

max-age=15768000; includeSubDomains, max-age=31536000; includeSubDomains; preload

HSTS verhindert SSL-Stripping. Empfohlen: max-age=31536000; includeSubDomains

Content-Security-Policy ✓ gesetzt

upgrade-insecure-requests;frame-ancestors 'self' *.uniqa.at app.storyblok.com;object-src 'none';script-src 'self' 'unsafe-inline' 'unsafe-eval' bat.bing.com edge.eu1.fullstory.com rs.eu1.fullstory.com edge.fullstory.com rs.fullstory.com app.storyblok.com *.uniqa.at www.googletagmanager.com assets.adobedtm.com activitymap.adobe.com sitecatalyst.omniture.com cdn1.api.trustedshops.com api.trustedshops.com connect.facebook.net googleads.g.doubleclick.net uniqaitservicesgmbh.d3.sc.omtrdc.net uniqaitservicesgmbh.tt.omtrdc.net www.facebook.com www.google.com www.google.at www.googleadservices.com bot-t.testcloud.uniqa.at bot.cloud.uniqa.at smartform-react-t.testcloud.uniqa.at smartform-react.cloud.uniqa.at *.serving-sys.com *.mindtake.com maps.googleapis.com smartform-api.cloud.uniqa.at smartform-api-t.testcloud.uniqa.at www.gstatic.com w.usabilla.com s.pinimg.com ct.pinterest.com secure.adnxs.com sw-assets.ekomiapps.de smart-widget-assets.ekomiapps.de smartforms.ekomi.com prep-cookie-banner.unext-test.uniqa.cloud *.uniqaat.link p.teads.tv d6tizftlrpuof.cloudfront.net;worker-src 'self' blob: *.uniqaat.link *.uniqa.at;

CSP — wichtigster Schutz gegen XSS.

X-Frame-Options ✓ gesetzt

SAMEORIGIN

Schuetzt vor Clickjacking. DENY oder SAMEORIGIN.

X-Content-Type-Options ✓ gesetzt

nosniff

Sollte "nosniff" sein — verhindert MIME-Sniffing.

Referrer-Policy ✗ fehlt

strict-origin-when-cross-origin oder strenger.

Permissions-Policy ✗ fehlt

Schaltet unerwünschte Browser-Features ab (Geolocation, Mikrofon, etc.).

Befunde (2)

→Header fehlt: Referrer-Policy
→Header fehlt: Permissions-Policy

Was sind HTTP-Security-Header?

HTTP-Security-Header sind kleine Anweisungen, die dein Webserver mit jeder Antwort an den Browser mitschickt. Sie sagen dem Browser, wie er die Webseite behandeln soll — beispielsweise: "Lass keine fremden Skripte zu" (CSP), "Lade mich nie als iframe" (X-Frame-Options) oder "Sprich mit mir nur über HTTPS" (HSTS).

Die sechs hier geprüften Header decken die wichtigsten Angriffsklassen ab: HSTS verhindert SSL-Stripping bei Man-in-the-Middle-Angriffen. CSP ist die wichtigste Verteidigung gegen Cross-Site-Scripting (XSS). X-Frame-Options blockt Clickjacking. X-Content-Type-Options verhindert MIME-Sniffing-Angriffe. Referrer-Policy kontrolliert, welche Informationen beim Klick auf externe Links übertragen werden. Permissions-Policy regelt, welche Browser-Features (Geolocation, Mikrofon, Kamera) auf der Seite erlaubt sind.

Header werden in der Webserver-Konfiguration gesetzt — bei nginx in add_header, bei Apache in Header set, bei Cloudflare über "Transform Rules". Bei Frameworks wie Flask oder Express gibt es Helm-Pakete (z. B. flask-talisman), die alles mit sinnvollen Defaults konfigurieren.

Ergebnis für uniqa.at

Von den 6 wichtigen Security-Headern setzt uniqa.at aktuell 4. Antwort-Status: HTTP 200.

Fehlend: Referrer-Policy, Permissions-Policy. Setze diese im Webserver oder über das CMS/CDN, dann steigt der Score von uniqa.at unmittelbar.

Weitere HTTP-Header-Ergebnisse

Vergleichswerte aus dem Cache — andere kürzlich geprüfte Domains.

6 Befunde

2 Befunde

4 Befunde

2 Befunde

digi21sa.netlify.app 1/6

5 Befunde

t3n.de 0/6

6 Befunde

Häufige Fragen zu

Wie viele Security-Header setzt uniqa.at? +

uniqa.at setzt aktuell 4 von 6 wichtigen HTTP-Security-Headern. Jeder fehlende Header entspricht einer Lücke gegenüber XSS, Clickjacking oder MIME-Sniffing.

Welche Security-Header fehlen auf uniqa.at? +

Auf uniqa.at fehlen aktuell: Referrer-Policy, Permissions-Policy. Diese lassen sich serverseitig (nginx/Apache) oder im CMS/CDN nachsetzen, ohne Code-Änderungen am Frontend.

Werden die Ergebnisse zu uniqa.at gespeichert? +

Tool-Ergebnisse werden 24 Stunden gecached, damit häufig geprüfte Domains nicht jede Anfrage erneut abrufen. Personenbezogene Daten werden dabei nicht verarbeitet — nur öffentlich abrufbare DNS-, Header- und Zertifikatsdaten.

Auch für uniqa.at prüfen

SSL-Check geprüft

SSL/TLS-Zertifikat, Restlaufzeit, Cipher.

DMARC-Lookup geprüft

SPF, DMARC, DKIM und MX-Records.

DNS-Lookup geprüft

A, AAAA, MX, NS, TXT, CAA, SOA.

Whois/RDAP geprüft

Registrar, Ablaufdatum, Status, Nameserver.

Port-Scan geprüft

20 gängige TCP-Ports, kritische rot markiert.

Cookie-Audit geprüft

Set-Cookie-Header, Flags, Tracking-Erkennung.

Hintergrund im Lexikon

CSP erklärt csp

Die Content-Security-Policy ist der wichtigste Browser-seitige Schutz gegen XSS. Hier erfaehrst du, wie eine CSP aufgebaut ist und wie du si…

HSTS erklärt hsts

HSTS (Strict-Transport-Security) zwingt Browser dauerhaft auf HTTPS. Hier erfaehrst du, wie der Header aufgebaut ist, was includeSubDomains …

X-Frame-Options erklärt x-frame-options

X-Frame-Options verhindert Clickjacking-Angriffe, indem es regelt, ob deine Webseite in einem iframe eingebettet werden darf. Werte DENY, SA…

Referrer-Policy erklärt referrer-policy

Die Referrer-Policy regelt, welche Informationen beim Klick auf externe Links uebertragen werden. Werte, Privacy-Auswirkungen und sichere De…

Permissions-Policy erklärt permissions-policy

Die Permissions-Policy schaltet Browser-Features wie Geolocation, Mikrofon, Kamera und FLoC selektiv ab. Aufbau, alle Direktiven und Default…

MIME-Sniffing & X-Content-Type-Options erklärt mime-sniffing

X-Content-Type-Options: nosniff verhindert, dass Browser den MIME-Type von Dateien selbst raten. Schutz gegen Cross-Site-Scripting und Drive…

Cookie-Flags erklärt cookie-flags

Secure, HttpOnly und SameSite — die drei wichtigsten Cookie-Flags und wozu sie da sind. Wie du Sessions gegen XSS, MITM und CSRF absicherst.

Vollständiger Sicherheits-Audit für uniqa.at

SSL, Header, DNS, E-Mail, DSGVO, CMS und CVEs in einem Bericht.

Geprüft am 13.06.2026 13:59 Uhr · Aus Cache (24 h-TTL)