HTTP-Header für bahn.de

Die sechs wichtigsten Security-Header — gesetzt oder nicht?

Security-Header

HTTP 200

Strict-Transport-Security ✓ gesetzt

max-age=15768000 ; includeSubDomains ; preload

HSTS verhindert SSL-Stripping. Empfohlen: max-age=31536000; includeSubDomains

Content-Security-Policy ✓ gesetzt

default-src 'self'; worker-src 'self' blob:; script-src 'self' 'unsafe-eval' 'unsafe-inline' https://sdk.token.logpay.de https://*.payone.com https://maps.googleapis.com blob: https://www.jsctool.com https://jsctool.com https://*.optimizely.com https://secure.pay1.de https://dbpayment.deutschebahn.com https://payment.deutschebahn.com https://www.img-bahn.de https://cms.static-bahn.de https://cms.static-bahn.de https://cdn.m-pathy.com https://dmp.adform.net https://zn0lxkzethotizctx-bahn.siteintercept.qualtrics.com https://*.adform.net https://m.exactag.com https://siteintercept.qualtrics.com https://*.bahn.de https://*.bahn.com https://app.crossengage.io https://ucm-eu.verint-cdn.com https://*.go-mpulse.net; connect-src 'self' https://maps.googleapis.com https://mapsresources-pa.googleapis.com https://www.gstatic.com data: blob: https://p11.techlab-cdn.com https://www.jsctool.com https://jsctool.com https://assets.static-bahn.de https://dmp.adform.net https://siteintercept.qualtrics.com https://logx.optimizely.com https://*.optimizely.com https://collect.tealiumiq.com https://trk-api.crossengage.io https://accounts.bahn.de https://ucm-eu.verint-cdn.com https://hoover-eu.verint-api.com https://*.akstat.io https://*.go-mpulse.net wss://hoover-eu.verint-api.com https://kiana.services-bahn.de; frame-src 'self' https://s-bahn-hh.specials-bahn.de/ https://cms.static-bahn.de https://secure.pay1.de https://dbpayment.deutschebahn.com https://payment.deutschebahn.com https://dbpayment.dbv.service.deutschebahn.com https://payment.dbv.service.deutschebahn.com https://*.bahn.de https://www.abo-bahn.de https://db.novafind.eu https://transport.novafind.eu https://a791773171.cdn.optimizely.com/ https://s-bahn-muenchen-live.de https://assets1-eur.mkt.dynamics.com https://assets-eur.mkt.dynamics.com https://accounts.bahn.de https://db-bordgastronomie.de https://ersatzkarte-dbregiobusnord.de https://analytics.geops.de https://*.sbahnm.geops.de https://fipo.deutschebahn.com https://regioforce.my.salesforce-sites.com https://regioforce.my.site.com https://www.jugendticket-nds.de https://a1.adform.net https://dbstreckenagent.de https://www.dbstreckenagent.de https://tour.services-bahn.de; frame-ancestors 'self'; style-src 'self' https://ucm-eu.verint-cdn.com https://fonts.googleapis.com https://www.jsctool.com https://jsctool.com 'unsafe-inline'; font-src 'self' data: https://fonts.gstatic.com; img-src 'self' https://*.static-bahn.de https://maps.googleapis.com https://mapsresources-pa.googleapis.com https://maps.gstatic.com https://www.awin1.com https://partner-bahn.de https://cm.g.doubleclick.net https://fcmatch.google.com https://fcmatch.youtube.com https://dmp.adform.net https://cdn.optimizely.com https://*.qualtrics.com https://assets.static-bahn.de https://*.bahn.de https://assets-ri.extranet.deutschebahn.com https://cms.static-bahn.de https://*.akstat.io data:; media-src 'self' https://assets.static-bahn.de https://*.bahn.de https://cms.static-bahn.de;

CSP — wichtigster Schutz gegen XSS.

X-Frame-Options ✓ gesetzt

sameorigin, SAMEORIGIN

Schuetzt vor Clickjacking. DENY oder SAMEORIGIN.

X-Content-Type-Options ✓ gesetzt

nosniff

Sollte "nosniff" sein — verhindert MIME-Sniffing.

Referrer-Policy ✗ fehlt

strict-origin-when-cross-origin oder strenger.

Permissions-Policy ✗ fehlt

Schaltet unerwünschte Browser-Features ab (Geolocation, Mikrofon, etc.).

Befunde (2)

→Header fehlt: Referrer-Policy
→Header fehlt: Permissions-Policy

Was sind HTTP-Security-Header?

HTTP-Security-Header sind kleine Anweisungen, die dein Webserver mit jeder Antwort an den Browser mitschickt. Sie sagen dem Browser, wie er die Webseite behandeln soll — beispielsweise: "Lass keine fremden Skripte zu" (CSP), "Lade mich nie als iframe" (X-Frame-Options) oder "Sprich mit mir nur über HTTPS" (HSTS).

Die sechs hier geprüften Header decken die wichtigsten Angriffsklassen ab: HSTS verhindert SSL-Stripping bei Man-in-the-Middle-Angriffen. CSP ist die wichtigste Verteidigung gegen Cross-Site-Scripting (XSS). X-Frame-Options blockt Clickjacking. X-Content-Type-Options verhindert MIME-Sniffing-Angriffe. Referrer-Policy kontrolliert, welche Informationen beim Klick auf externe Links übertragen werden. Permissions-Policy regelt, welche Browser-Features (Geolocation, Mikrofon, Kamera) auf der Seite erlaubt sind.

Header werden in der Webserver-Konfiguration gesetzt — bei nginx in add_header, bei Apache in Header set, bei Cloudflare über "Transform Rules". Bei Frameworks wie Flask oder Express gibt es Helm-Pakete (z. B. flask-talisman), die alles mit sinnvollen Defaults konfigurieren.

Auch für bahn.de prüfen

SSL-Check geprüft

SSL/TLS-Zertifikat, Restlaufzeit, Cipher.

DMARC-Lookup geprüft

SPF, DMARC, DKIM und MX-Records.

DNS-Lookup geprüft

A, AAAA, MX, NS, TXT, CAA, SOA.

Whois/RDAP geprüft

Registrar, Ablaufdatum, Status, Nameserver.

Port-Scan geprüft

20 gängige TCP-Ports, kritische rot markiert.

Cookie-Audit geprüft

Set-Cookie-Header, Flags, Tracking-Erkennung.

Hintergrund im Lexikon

CSP erklärt csp

Die Content-Security-Policy ist der wichtigste Browser-seitige Schutz gegen XSS. Hier erfaehrst du, wie eine CSP aufgebaut ist und wie du si…

HSTS erklärt hsts

HSTS (Strict-Transport-Security) zwingt Browser dauerhaft auf HTTPS. Hier erfaehrst du, wie der Header aufgebaut ist, was includeSubDomains …

X-Frame-Options erklärt x-frame-options

X-Frame-Options verhindert Clickjacking-Angriffe, indem es regelt, ob deine Webseite in einem iframe eingebettet werden darf. Werte DENY, SA…

Referrer-Policy erklärt referrer-policy

Die Referrer-Policy regelt, welche Informationen beim Klick auf externe Links uebertragen werden. Werte, Privacy-Auswirkungen und sichere De…

Permissions-Policy erklärt permissions-policy

Die Permissions-Policy schaltet Browser-Features wie Geolocation, Mikrofon, Kamera und FLoC selektiv ab. Aufbau, alle Direktiven und Default…

MIME-Sniffing & X-Content-Type-Options erklärt mime-sniffing

X-Content-Type-Options: nosniff verhindert, dass Browser den MIME-Type von Dateien selbst raten. Schutz gegen Cross-Site-Scripting und Drive…

Cookie-Flags erklärt cookie-flags

Secure, HttpOnly und SameSite — die drei wichtigsten Cookie-Flags und wozu sie da sind. Wie du Sessions gegen XSS, MITM und CSRF absicherst.

Vollständiger Sicherheits-Audit für bahn.de

SSL, Header, DNS, E-Mail, DSGVO, CMS und CVEs in einem Bericht.

Geprüft am 14.05.2026 20:32 Uhr · Live geprüft