HTTP-Security-Header prüfen
Analysiert die HTTP-Antwort auf die wichtigsten Security-Header: HSTS, Content-Security-Policy, X-Frame-Options, X-Content-Type-Options, Referrer-Policy und Permissions-Policy.
Was prüft der Header-Check?
Der Check ruft deine Seite ab und untersucht die HTTP-Antwort auf die sechs wichtigsten Sicherheits-Header: Strict-Transport-Security (HSTS), Content-Security-Policy (CSP), X-Frame-Options, X-Content-Type-Options, Referrer-Policy und Permissions-Policy. Jeder dieser Header weist den Browser an, bestimmte Angriffe von vornherein zu blockieren – fehlt er, bleibt die jeweilige Lücke offen.
Warum ist das wichtig?
Diese Header sind deine letzte Verteidigungslinie direkt im Browser des Besuchers. Ohne HSTS lässt sich eine HTTPS-Verbindung per SSL-Stripping auf unverschlüsseltes HTTP herunterstufen. Ohne X-Frame-Options bzw. eine frame-ancestors-Regel in der CSP kann deine Seite in einen fremden Rahmen gesetzt und für Clickjacking missbraucht werden. Ohne X-Content-Type-Options mit dem Wert nosniff rät der Browser den Dateityp und kann harmlos aussehende Uploads als Skript ausführen. Die CSP ist der stärkste Hebel gegen Cross-Site-Scripting (XSS).
Wie lese ich das Ergebnis?
Pro Header siehst du, ob er gesetzt ist und wie. HSTS sollte ein max-age von mindestens einem halben Jahr und idealerweise includeSubDomains haben. X-Frame-Options gehört auf DENY oder SAMEORIGIN. X-Content-Type-Options kennt nur einen sinnvollen Wert: nosniff. Die CSP ist am wirkungsvollsten, aber auch am heikelsten – fang mit einem Report-Only-Modus an, damit du nichts kaputt machst. Alles grün heißt: solide Grundabsicherung.
Häufige Fragen zum HTTP-Header
Welcher Security-Header ist der wichtigste?
Die Content-Security-Policy hat die größte Schutzwirkung, ist aber am aufwendigsten. HSTS bringt das beste Verhältnis aus Schutz und geringem Aufwand.
Was macht HSTS genau?
Es zwingt den Browser, deine Domain künftig ausschließlich über HTTPS aufzurufen – selbst wenn jemand einen http-Link unterschiebt.
Verhindert X-Frame-Options Clickjacking?
Ja, es unterbindet das Einbetten deiner Seite in fremde Frames. In modernen Setups übernimmt das die CSP-Direktive frame-ancestors.
Können falsch gesetzte Header meine Seite lahmlegen?
Vor allem eine zu strenge CSP kann legitime Skripte und Styles blockieren. Deshalb immer erst im Report-Only-Modus testen.
Hintergrund im Lexikon
Vollständigen Audit gewünscht? Der vollständige Webscan-Radar-Sicherheits-Check kombiniert HTTP-Header mit allen anderen Bereichen plus DSGVO-Audit, CMS-Erkennung, CVE-Abgleich und Performance-Messung in einem Bericht — ebenfalls kostenlos.