HTTP-Header für hofer.at

Die sechs wichtigsten Security-Header — gesetzt oder nicht?

Security-Header

HTTP 200

Strict-Transport-Security ✓ gesetzt

max-age=63072000; includeSubdomains;

HSTS verhindert SSL-Stripping. Empfohlen: max-age=31536000; includeSubDomains

Content-Security-Policy ✓ gesetzt

script-src 'self' 'unsafe-inline' 'unsafe-eval' assets.adobedtm.com *.salesforceliveagent.com service.force.com *.my.salesforce.com *.google.com *.facebook.net *.facebook.com *.omtrdc.net *.youtube.com *.ytimg.com *.doubleclick.net *.googleapis.com *.iesnare.com appleid.cdn-apple.com www.googletagmanager.com www.googleadservices.com activitymap.adobe.com qasfix-hofer.cs101.force.com cs101.salesforce.com https://www.googletagmanager.com/gtag/js *.bing.com https://s.pinimg.com/ct/core.js https://s.pinimg.com/ct/lib/main.2a04f3ee.js hofer.force.com hofer.secure.force.com static.lightning.force.com js-cdn.dynatrace.com int-crm.my.salesforce.com EU17.salesforce.com EU17.force.com EU36.salesforce.com EU36.force.com secure.force.com *.cookielaw.org *.onetrust.com *.salesforce-sites.com s7g10.scene7.com collect.tealiumiq.com tags.tiqcdn.com *.googlesyndication.com https://rum.hlx.page *.mapbox.com https://locator.uberall.com; object-src 'none'; connect-src 'self' *.omtrdc.net *.demdex.net *.postcodeanywhere.co.uk *.facebook.com activitymap.adobe.com sitecatalyst.omniture.com qasfix-hofer.cs101.force.com cs101.salesforce.com hofer.force.com hofer.secure.force.com c.la1-c1-fra.salesforceliveagent.com EU17.salesforce.com d.la1-c1-fra.salesforceliveagent.com www.zurueckzumursprung.at https://storefinder.aldi.at https://empty-fridge-widget.vercel.app https://gewinnspiel.aldi-sued.de test.storefinder.aldi.at https://bf51204epo.bf.dynatrace.com/bf int-crm.my.salesforce.com eu36.salesforce.com EU17.force.com EU36.force.com static.lightning.force.com secure.force.com service.force.com *.salesforceliveagent.com *.googleapis.com *.cookielaw.org *.onetrust.com *.salesforce-sites.com s7g10.scene7.com collect.tealiumiq.com *.doubleclick.net *.googlesyndication.com *.google.com api.friendlycaptcha.com eu-api.friendlycaptcha.eu bat.bing.com bat.bing.net *.googleadservices.com https://rum.hlx.page *.mapbox.com https://locator.uberall.com; style-src 'self' 'unsafe-inline' *.googleapis.com *.omtrdc.net *.my.salesforce.com service.force.com qasfix-hofer.cs101.force.com cs101.salesforce.com hofer.force.com hofer.secure.force.com int-crm.my.salesforce.com EU17.salesforce.com EU17.force.com EU36.salesforce.com EU36.force.com static.lightning.force.com secure.force.com *.salesforceliveagent.com *.cookielaw.org *.onetrust.com *.salesforce-sites.com *.gstatic.com s7g10.scene7.com; font-src 'self' *.gstatic.com data:; frame-src 'self' *.demdex.net *.facebook.com *.google.com *.youtube.com *.youtube-nocookie.com *.customervoice360.com *.adobe.com aldisued.marketing.adobe.com *.psa.at aldisued.experiencecloud.adobe.com web-psa-preprod.mp-testing.com rest-b2b-crt-preprod.mp-testing.com psa-card-administration.mobile-pocket.com *.iesnare.com www.elettershop.de t.elettershop.de *.salesforceliveagent.com service.force.com activitymap.adobe.com *.omniture.com qasfix-hofer.cs101.force.com cs101.salesforce.com *.doubleclick.net www.zurueckzumursprung.at storefinder.aldi.at https://empty-fridge-widget.vercel.app https://gewinnspiel.aldi-sued.de test.storefinder.aldi.at cs107.salesforce.com eu17.salesforce.com medienkontakt.hofer.at int-crm.my.salesforce.com eu36.salesforce.com hofer.secure.force.com EU17.force.com EU36.force.com static.lightning.force.com secure.force.com hofer.force.com check-your-product.com www.check-your-product.com hofer-tickets.at/redeem test.etcgmbh.de/redeem *.salesforce-sites.com *.salesforce.com katalog.hofer.at *.brame.io *.brame-gamification.com brame-static.s3.eu-central-1.amazonaws.com brame-campaign-data-storage.s3.amazonaws.com interaktiv.www.hofer.at *.questback.com www.googletagmanager.com; worker-src 'self' blob:; frame-ancestors 'self' https://aldisued.marketing.adobe.com https://aldisued.experiencecloud.adobe.com https://www.elettershop.de https://t.elettershop.de https://experience.adobe.com hofer-custom.staffbase.com unserhofer.hofer.at localhost:*

CSP — wichtigster Schutz gegen XSS.

X-Frame-Options ✗ fehlt

Schuetzt vor Clickjacking. DENY oder SAMEORIGIN.

X-Content-Type-Options ✓ gesetzt

nosniff

Sollte "nosniff" sein — verhindert MIME-Sniffing.

Referrer-Policy ✓ gesetzt

no-referrer-when-downgrade

strict-origin-when-cross-origin oder strenger.

Permissions-Policy ✗ fehlt

Schaltet unerwünschte Browser-Features ab (Geolocation, Mikrofon, etc.).

Befunde (2)

→Header fehlt: X-Frame-Options
→Header fehlt: Permissions-Policy

Was sind HTTP-Security-Header?

HTTP-Security-Header sind kleine Anweisungen, die dein Webserver mit jeder Antwort an den Browser mitschickt. Sie sagen dem Browser, wie er die Webseite behandeln soll — beispielsweise: "Lass keine fremden Skripte zu" (CSP), "Lade mich nie als iframe" (X-Frame-Options) oder "Sprich mit mir nur über HTTPS" (HSTS).

Die sechs hier geprüften Header decken die wichtigsten Angriffsklassen ab: HSTS verhindert SSL-Stripping bei Man-in-the-Middle-Angriffen. CSP ist die wichtigste Verteidigung gegen Cross-Site-Scripting (XSS). X-Frame-Options blockt Clickjacking. X-Content-Type-Options verhindert MIME-Sniffing-Angriffe. Referrer-Policy kontrolliert, welche Informationen beim Klick auf externe Links übertragen werden. Permissions-Policy regelt, welche Browser-Features (Geolocation, Mikrofon, Kamera) auf der Seite erlaubt sind.

Header werden in der Webserver-Konfiguration gesetzt — bei nginx in add_header, bei Apache in Header set, bei Cloudflare über "Transform Rules". Bei Frameworks wie Flask oder Express gibt es Helm-Pakete (z. B. flask-talisman), die alles mit sinnvollen Defaults konfigurieren.

Auch für hofer.at prüfen

SSL-Check geprüft

SSL/TLS-Zertifikat, Restlaufzeit, Cipher.

DMARC-Lookup geprüft

SPF, DMARC, DKIM und MX-Records.

DNS-Lookup geprüft

A, AAAA, MX, NS, TXT, CAA, SOA.

Whois/RDAP geprüft

Registrar, Ablaufdatum, Status, Nameserver.

Port-Scan geprüft

20 gängige TCP-Ports, kritische rot markiert.

Cookie-Audit geprüft

Set-Cookie-Header, Flags, Tracking-Erkennung.

Hintergrund im Lexikon

CSP erklärt csp

Die Content-Security-Policy ist der wichtigste Browser-seitige Schutz gegen XSS. Hier erfaehrst du, wie eine CSP aufgebaut ist und wie du si…

HSTS erklärt hsts

HSTS (Strict-Transport-Security) zwingt Browser dauerhaft auf HTTPS. Hier erfaehrst du, wie der Header aufgebaut ist, was includeSubDomains …

X-Frame-Options erklärt x-frame-options

X-Frame-Options verhindert Clickjacking-Angriffe, indem es regelt, ob deine Webseite in einem iframe eingebettet werden darf. Werte DENY, SA…

Referrer-Policy erklärt referrer-policy

Die Referrer-Policy regelt, welche Informationen beim Klick auf externe Links uebertragen werden. Werte, Privacy-Auswirkungen und sichere De…

Permissions-Policy erklärt permissions-policy

Die Permissions-Policy schaltet Browser-Features wie Geolocation, Mikrofon, Kamera und FLoC selektiv ab. Aufbau, alle Direktiven und Default…

MIME-Sniffing & X-Content-Type-Options erklärt mime-sniffing

X-Content-Type-Options: nosniff verhindert, dass Browser den MIME-Type von Dateien selbst raten. Schutz gegen Cross-Site-Scripting und Drive…

Cookie-Flags erklärt cookie-flags

Secure, HttpOnly und SameSite — die drei wichtigsten Cookie-Flags und wozu sie da sind. Wie du Sessions gegen XSS, MITM und CSRF absicherst.

Vollständiger Sicherheits-Audit für hofer.at

SSL, Header, DNS, E-Mail, DSGVO, CMS und CVEs in einem Bericht.

Geprüft am 14.05.2026 22:02 Uhr · Aus Cache (24 h-TTL)