Lexikon der Webseiten-Sicherheit
Die wichtigsten Begriffe rund um SSL, HTTP-Header und E-Mail-Sicherheit — verständlich erklärt, mit konkreten Beispielen und passenden Prüf-Tools.
DMARC erklärt
DMARCDMARC schuetzt deine Domain vor E-Mail-Spoofing. Hier liest du, wie der Record aufgebaut ist, was p=none/quarantine/reject bedeutet und wie du DMARC schrittweise einfuehrst.
Artikel lesen →HSTS erklärt
HSTSHSTS (Strict-Transport-Security) zwingt Browser dauerhaft auf HTTPS. Hier erfaehrst du, wie der Header aufgebaut ist, was includeSubDomains und preload bedeuten.
Artikel lesen →SSL/TLS erklärt
SSLWie SSL/TLS-Zertifikate funktionieren, wie der Handshake abläuft und worauf du beim Prüfen achten solltest — verständlich erklärt.
Artikel lesen →SPF erklärt
SPFSPF (Sender Policy Framework) verhindert, dass fremde Server unter deinem Domainnamen E-Mails verschicken. Aufbau, Mechanismen und Best Practices.
Artikel lesen →CSP erklärt
CSPDie Content-Security-Policy ist der wichtigste Browser-seitige Schutz gegen XSS. Hier erfaehrst du, wie eine CSP aufgebaut ist und wie du sie sicher einfuehrst.
Artikel lesen →DKIM erklärt
DKIMDKIM signiert deine ausgehenden E-Mails kryptografisch — der Empfänger erkennt zuverlässig, ob eine Mail von dir stammt. Aufbau, Selektoren und häufige Stolperfallen.
Artikel lesen →X-Frame-Options erklärt
X-FRAME-OPTIONSX-Frame-Options verhindert Clickjacking-Angriffe, indem es regelt, ob deine Webseite in einem iframe eingebettet werden darf. Werte DENY, SAMEORIGIN und der CSP-Nachfolger frame-ancestors.
Artikel lesen →Subresource Integrity erklärt
SUBRESOURCE-INTEGRITYSRI sichert externe JavaScript- und CSS-Dateien gegen Manipulation auf dem CDN. Hash-basierte Integritätsprüfung im Browser — verständlich erklärt mit Beispielen.
Artikel lesen →CORS erklärt
CORSCross-Origin Resource Sharing regelt, welche fremden Webseiten deine APIs aufrufen duerfen. Same-Origin-Policy, Preflight-Requests und die wichtigsten CORS-Header.
Artikel lesen →Cookie-Flags erklärt
COOKIE-FLAGSSecure, HttpOnly und SameSite — die drei wichtigsten Cookie-Flags und wozu sie da sind. Wie du Sessions gegen XSS, MITM und CSRF absicherst.
Artikel lesen →DNSSEC erklärt
DNSSECDNSSEC schuetzt DNS-Antworten kryptografisch gegen Manipulation und Cache-Poisoning. Aufbau, Schluessel-Hierarchie (KSK/ZSK) und wie man DNSSEC richtig aktiviert.
Artikel lesen →CAA-Record erklärt
CAA-RECORDCAA-Records bestimmen, welche Zertifizierungsstellen SSL-Zertifikate fuer deine Domain ausstellen duerfen. Schutz gegen Mis-Issuance, Aufbau und Beispiele.
Artikel lesen →Referrer-Policy erklärt
REFERRER-POLICYDie Referrer-Policy regelt, welche Informationen beim Klick auf externe Links uebertragen werden. Werte, Privacy-Auswirkungen und sichere Defaults.
Artikel lesen →Permissions-Policy erklärt
PERMISSIONS-POLICYDie Permissions-Policy schaltet Browser-Features wie Geolocation, Mikrofon, Kamera und FLoC selektiv ab. Aufbau, alle Direktiven und Default-Empfehlungen.
Artikel lesen →MIME-Sniffing & X-Content-Type-Options erklärt
MIME-SNIFFINGX-Content-Type-Options: nosniff verhindert, dass Browser den MIME-Type von Dateien selbst raten. Schutz gegen Cross-Site-Scripting und Drive-by-Downloads.
Artikel lesen →Was bringt dir das Lexikon?
Wenn du einen Sicherheits-Audit auf Webscan Radar laufen lässt, bekommst du konkrete Empfehlungen mit Begriffen wie HSTS, DMARC oder Content-Security-Policy. Wer mit der Materie nicht täglich zu tun hat, kennt diese Abkürzungen oft nur vom Hörensagen — das Lexikon erklärt jeden Begriff in 5–10 Minuten Lesezeit, mit konkreten Beispielen und Schritt-für-Schritt-Anleitungen zur Umsetzung.
Jeder Lexikon-Artikel verlinkt direkt zum passenden Webscan-Radar-Tool, mit dem du den jeweiligen Aspekt bei deiner eigenen Domain prüfen kannst — kostenlos, ohne Account.