Zum Hauptinhalt springen

HTTP-Header für oebb.at

Die sechs wichtigsten Security-Header — gesetzt oder nicht?

Security-Header

HTTP 200
Strict-Transport-Security ✓ gesetzt
max-age=31536000

HSTS verhindert SSL-Stripping. Empfohlen: max-age=31536000; includeSubDomains

Content-Security-Policy ✓ gesetzt
default-src 'self' https://*.oebb.at https://*.nightjet.com https://*.railcargo.com https://oebb.celum.cloud https://chcloudoebbexportprod.blob.core.windows.net https://chcloudoebbprod.blob.core.windows.net https://*.streaming.media.azure.net; style-src 'self' 'unsafe-inline' https://*.oebb.at https://*.nightjet.com https://oc-cdn-public-eur.azureedge.net/livechatwidget/ https://static.userback.io https://booking.busfinder.com https://app.busfinder.com https://fonts.googleapis.com; script-src 'self' https://*.oebb.at https://*.nightjet.com https://*.railcargo.com https://www.youtube.com/iframe_api https://www.youtube.com/s/player/ https://cdn.botframework.com https://oc-cdn-public-eur.azureedge.net/livechatwidget/ https://static.userback.io https://*.traumgutscheine.com https://myincert.com https://*.myincert.com https://jrrsxh.obb-italia.com https://8fhpe4.oebb.at https://booking.busfinder.com https://app.busfinder.com https://maps.googleapis.com https://maps.gstatic.com https://cdn.jsdelivr.net; connect-src 'self' blob: https://*.oebb.at https://*.nightjet.com https://obc.railcargo.com https://oebb.celum.cloud https://*.playertec.de https://api.siteimprove.com https://directline.botframework.com https://europe.directline.botframework.com wss://europe.directline.botframework.com wss://directline.botframework.com https://powerva.microsoft.com https://oc-cdn-public-eur.azureedge.net/livechatwidget/ https://*.eu.omnichannelengagementhub.com https://go-eu.trouter.teams.microsoft.com https://*.communication.azure.com https://eu-mobile.events.data.microsoft.com https://*.trouter.teams.microsoft.com wss://*.trouter.teams.microsoft.com https://teams.microsoft.com https://api.userback.io https://tickets-deva.dm.tsint.at https://tickets-stest.dm.tsint.at https://shop.oebbtickets.at https://jrrsxh.obb-italia.com https://8fhpe4.oebb.at https://booking.busfinder.com https://app.busfinder.com https://maps.googleapis.com https://maps.gstatic.com https://api.i-mobility.at; img-src 'self' data: blob: https://*.oebb.at https://*.nightjet.com https://*.railcargo.com https://chcloudoebbexportprod.blob.core.windows.net https://chcloudoebbprod.blob.core.windows.net https://*.ytimg.com https://oc-cdn-public-eur.azureedge.net/livechatwidget/ https://static.userback.io https://maps.googleapis.com https://maps.gstatic.com https://cdn.jsdelivr.net; media-src data:; frame-src https://*.oebb.at https://*.nightjet.com https://*.railcargo.com https://*.streaming.media.azure.net https://*.microsoftstream.com https://www.youtube-nocookie.com https://vimeo.com https://*.vimeo.com https://*.playertec.de https://*.yumpu.com https://www.zepp-cam.at https://*.soundcloud.com https://*.spotify.com https://*.waca.at https://*.dynamics.com https://live.virtual-events.at https://service.studiobaff.com https://live.brame-gamification.com https://www.komoot.de https://wien.radelt.at https://rcg.flave.world https://www.linkedin.com https://oc-cdn-public-eur.azureedge.net/livechatwidget/ https://comms.omnichannelengagementhub.com https://www.traumgutscheine.com https://railtours.traumgutscheine.com https://tickets-deva.dm.tsint.at https://tickets-stest.dm.tsint.at https://shop.oebbtickets.at https://staging.svv.app.simdle.mobi; frame-ancestors 'self' https://*.oebb.at http://fahrplan.oebb.at https://*.nightjet.com https://*.railcargo.com https://oebb-test.hafas.de; font-src 'self' https://*.oebb.at https://*.nightjet.com https://*.railcargo.com https://res-1.cdn.office.net https://res.cdn.office.net https://maps.gstatic.com https://fonts.gstatic.com; child-src blob: https://*.oebb.at https://www.traumgutscheine.com https://railtours.traumgutscheine.com; worker-src blob: https://*.oebb.at;

CSP — wichtigster Schutz gegen XSS.

X-Frame-Options ✓ gesetzt
deny

Schuetzt vor Clickjacking. DENY oder SAMEORIGIN.

X-Content-Type-Options ✓ gesetzt
nosniff

Sollte "nosniff" sein — verhindert MIME-Sniffing.

Referrer-Policy ✓ gesetzt
strict-origin-when-cross-origin

strict-origin-when-cross-origin oder strenger.

Permissions-Policy ✓ gesetzt
accelerometer=(), ambient-light-sensor=(), autoplay=(), battery=(), camera=(), display-capture=(), document-domain=(), encrypted-media=(), fullscreen=(self "https://static.web.oebb.at"), gamepad=(), geolocation=(), gyroscope=(), layout-animations=(self), legacy-image-formats=(self), magnetometer=(), microphone=(), midi=(), oversized-images=(self), payment=(), picture-in-picture=(), publickey-credentials-get=(), screen-wake-lock=(), speaker-selection=(), sync-xhr=(self), unoptimized-images=(self), unsized-media=(self), usb=(), web-share=(), xr-spatial-tracking=()

Schaltet unerwünschte Browser-Features ab (Geolocation, Mikrofon, etc.).

Status

  • Alle wichtigen Security-Header sind gesetzt.

Was sind HTTP-Security-Header?

HTTP-Security-Header sind kleine Anweisungen, die dein Webserver mit jeder Antwort an den Browser mitschickt. Sie sagen dem Browser, wie er die Webseite behandeln soll — beispielsweise: "Lass keine fremden Skripte zu" (CSP), "Lade mich nie als iframe" (X-Frame-Options) oder "Sprich mit mir nur über HTTPS" (HSTS).

Die sechs hier geprüften Header decken die wichtigsten Angriffsklassen ab: HSTS verhindert SSL-Stripping bei Man-in-the-Middle-Angriffen. CSP ist die wichtigste Verteidigung gegen Cross-Site-Scripting (XSS). X-Frame-Options blockt Clickjacking. X-Content-Type-Options verhindert MIME-Sniffing-Angriffe. Referrer-Policy kontrolliert, welche Informationen beim Klick auf externe Links übertragen werden. Permissions-Policy regelt, welche Browser-Features (Geolocation, Mikrofon, Kamera) auf der Seite erlaubt sind.

Header werden in der Webserver-Konfiguration gesetzt — bei nginx in add_header, bei Apache in Header set, bei Cloudflare über "Transform Rules". Bei Frameworks wie Flask oder Express gibt es Helm-Pakete (z. B. flask-talisman), die alles mit sinnvollen Defaults konfigurieren.

Auch für oebb.at prüfen

SSL-Check geprüft

SSL/TLS-Zertifikat, Restlaufzeit, Cipher.
DMARC-Lookup geprüft

SPF, DMARC, DKIM und MX-Records.
DNS-Lookup geprüft

A, AAAA, MX, NS, TXT, CAA, SOA.
Whois/RDAP geprüft

Registrar, Ablaufdatum, Status, Nameserver.
Port-Scan geprüft

20 gängige TCP-Ports, kritische rot markiert.
Cookie-Audit geprüft

Set-Cookie-Header, Flags, Tracking-Erkennung.

Hintergrund im Lexikon

CSP erklärt csp

Die Content-Security-Policy ist der wichtigste Browser-seitige Schutz gegen XSS. Hier erfaehrst du, wie eine CSP aufgebaut ist und wie du si…
HSTS erklärt hsts

HSTS (Strict-Transport-Security) zwingt Browser dauerhaft auf HTTPS. Hier erfaehrst du, wie der Header aufgebaut ist, was includeSubDomains …
X-Frame-Options erklärt x-frame-options

X-Frame-Options verhindert Clickjacking-Angriffe, indem es regelt, ob deine Webseite in einem iframe eingebettet werden darf. Werte DENY, SA…
Referrer-Policy erklärt referrer-policy

Die Referrer-Policy regelt, welche Informationen beim Klick auf externe Links uebertragen werden. Werte, Privacy-Auswirkungen und sichere De…
Permissions-Policy erklärt permissions-policy

Die Permissions-Policy schaltet Browser-Features wie Geolocation, Mikrofon, Kamera und FLoC selektiv ab. Aufbau, alle Direktiven und Default…
MIME-Sniffing & X-Content-Type-Options erklärt mime-sniffing

X-Content-Type-Options: nosniff verhindert, dass Browser den MIME-Type von Dateien selbst raten. Schutz gegen Cross-Site-Scripting und Drive…
Cookie-Flags erklärt cookie-flags

Secure, HttpOnly und SameSite — die drei wichtigsten Cookie-Flags und wozu sie da sind. Wie du Sessions gegen XSS, MITM und CSRF absicherst.

Vollständiger Sicherheits-Audit für oebb.at

SSL, Header, DNS, E-Mail, DSGVO, CMS und CVEs in einem Bericht.

Geprüft am 14.05.2026 22:05 Uhr · Live geprüft