Zum Hauptinhalt springen

HTTP-Header für siemens.com

Die sechs wichtigsten Security-Header — gesetzt oder nicht?

Security-Header

HTTP 200
Strict-Transport-Security ✓ gesetzt
max-age=31536000; includeSubDomains; preload

HSTS verhindert SSL-Stripping. Empfohlen: max-age=31536000; includeSubDomains

Content-Security-Policy ✓ gesetzt
base-uri 'self' analytics.c2comms.cloud; block-all-mixed-content; child-src 'self' blob:; connect-src 'self' blob: *.algolia.io *.algolia.net *.algolianet.com *.config.eu-1.smooch.io *.demdex.net *.everesttech.net *.execute-api.us-east-2.amazonaws.com *.sc.omtrdc.net 7tfpgoho62.execute-api.us-west-2.amazonaws.com adservice.google.com aggregator.service.usercentrics.eu api-sr.eu.amplitude.com api.company-target.com api.dc.siemens.com api.eu-1.smooch.io api.refiner.io api.s.sw.siemens.com api.support.sw.siemens.com api.sw.siemens.com api.usercentrics.eu assets.new.siemens.com auth.sw.siemens.com botbuilder.siemens.cloud browser-intake-datadoghq.com cdn.plyr.io config-api.c2comms.cloud consent-api.service.consent.usercentrics.eu content.hotjar.io data.cdn.siemens.com data.metrics.siemens-cdn.com metrics.siemens-cdn.com experience.ninetailed.co field-marshal.sw.siemens.com graphql.contentful.com graphql.usercentrics.eu googleads.g.doubleclick.net irpages2.eqs.com metrics.hotjar.io payment.siemens.com preview.contentful.com profiles.siemens.com prompts.maze.co px.ads.linkedin.com region1.google-analytics.com secure.ixopay.com sr-client-cfg.eu.amplitude.com static.sw.cdn.siemens.com tag-logger.demandbase.com tools.adlytics.net uct.service.usercentrics.eu video.sw.siemens.com legacy-video.sw.siemens.com w3.siemens.com ws.hotjar.com wss://*.appsync-realtime-api.eu-central-1.amazonaws.com wss://*.smooch.io wss://ws.hotjar.com www.cdn.botfriendsx.com www.facebook.com www.google-analytics.com www.google.com www.google.de www.googleadservices.com www.gstatic.com www.siemens.at cdn.amplitude.com data: i0youh1e7m-1.algolianet.com i0youh1e7m-2.algolianet.com i0youh1e7m-3.algolianet.com i0youh1e7m-dsn.algolia.net raw.githubusercontent.com rum.browser-intake-datadoghq.com session-replay.browser-intake-datadoghq.com siemens.sc.omtrdc.net vc.hotjar.io video.sw.cdn.siemens.com www.googletagmanager.com service.sellerportal.xcelerator.siemens.com siemenscrm.my.salesforce-scrt.com siemenscrm.my.salesforce.com siemenscrm.my.site.com bat.bing.com partner-finder.btregistration.si.siemens.cloud seaapi.siemens.cloud assets.investisdigital.com api.investisdigital.com code.highcharts.com vertex.siemens.studio; default-src 'self' blob:; font-src 'self' data: analytics.c2comms.cloud cdn.siemens-web.com cdn.siemens.com siemenscrm.my.site.com static.sw.cdn.siemens.com tools.adlytics.net www.cdn.botfriendsx.com; frame-ancestors 'self' *.c2comms.cloud contentpath.siemens.com mc.contentpath.siemens.com content.sw.siemens.com resources.dc.siemens.com siemensfactoryautomation.pathfactory.com myaccount.lingotek.com vertex.siemens.studio *.cuenect.online *.siemens.com; frame-src 'self' *.demdex.net cdn.siemens.com contentpath.siemens.com mc.contentpath.siemens.com home-e31.niceincontact.com js.refiner.io rq.nativeforms.app s.company-target.com secure.ixopay.com siemens-disw.formstack.com siemenscrm.my.salesforce-scrt.com siemenscrm.my.site.com *.smooch.io www.facebook.com players.brightcove.net; img-src 'self' blob: data: *.demdex.net *.everesttech.net *.sc.omtrdc.net adservice.google.com analytics.c2comms.cloud app.usercentrics.eu assets.new.siemens.com blogs.sw.siemens.com botbuilder.siemens.cloud cdn.auth0.com cdn.datatables.net cdn.siemens.com content.prescreen.io cookies.siemens.com i1.wp.com id.rlcdn.com images.ctfassets.net images.sw.cdn.siemens.com jobdata.prescreen.io mall.industry.siemens.com px.ads.linkedin.com s.gravatar.com static.siemens.com static.sw.cdn.siemens.com tools.adlytics.net uct.service.usercentrics.eu video.sw.cdn.siemens.com www.gravatar.com analytics.twitter.com d2xo500swnpgl1.cloudfront.net plmsisw.file.force.com siemenscrm.my.site.com sellerportal-prod-data.s3.eu-central-1.amazonaws.com solidedge.siemens.com support.sw.siemens.com t.co www.googletagmanager.com bat.bing.com bat.bing.net ad.doubleclick.net www.facebook.com *.ads.linkedin.com assets.investisdigital.com vertex.siemens.studio; manifest-src 'self'; media-src 'self' blob: cdn.plyr.io video.sw.cdn.siemens.com video.sw.siemens.com legacy-video.sw.siemens.com; object-src 'none'; script-src 'report-sample' 'self' 'unsafe-eval' 'unsafe-inline' blob: analytics.c2comms.cloud anteilspreise.siemens.com app.usercentrics.eu cdn.amplitude.com cdn.c2comms.cloud cdn.datatables.net cdn.jsdelivr.net cdn.siemens-web.com cdn.siemens.com cookies.siemens.com data.cdn.siemens.com data.metrics.siemens-cdn.com metrics.siemens-cdn.com home-e31.niceincontact.com js.refiner.io metrics.siemens-cdn.com ml314.com payment.siemens.com prod.ste.dc.siemens.com profiles.siemens.com script.hotjar.com secure.ixopay.com snap.licdn.com snippet.maze.co static.ads-twitter.com static.hotjar.com static.sw.cdn.siemens.com tag.demandbase.com tools.adlytics.net w3.siemens.com www.datadoghq-browser-agent.com www.googletagmanager.com botbuilder.siemens.cloud connect.facebook.net img.en25.com www.cdn.botfriendsx.com bat.bing.com *.smooch.io service.force.com siemenscrm.my.salesforce.com siemenscrm.my.site.com assets.investisdigital.com api.investisdigital.com code.highcharts.com; style-src 'self' 'unsafe-inline' assets.investisdigital.com api.investisdigital.com analytics.c2comms.cloud cdn.datatables.net cdn.siemens.com profiles.siemens.com siemenscrm.my.site.com static.sw.cdn.siemens.com www.cdn.botfriendsx.com botbuilder.siemens.cloud fonts.googleapis.com tools.adlytics.net; upgrade-insecure-requests; worker-src 'self' blob:; report-uri https://w3.siemens.com/report?environment=siemenscom-prod&release=e970a4fa; report-to commscloud

CSP — wichtigster Schutz gegen XSS.

X-Frame-Options ✓ gesetzt
sameorigin

Schuetzt vor Clickjacking. DENY oder SAMEORIGIN.

X-Content-Type-Options ✓ gesetzt
nosniff

Sollte "nosniff" sein — verhindert MIME-Sniffing.

Referrer-Policy ✓ gesetzt
strict-origin-when-cross-origin

strict-origin-when-cross-origin oder strenger.

Permissions-Policy ✗ fehlt

Schaltet unerwünschte Browser-Features ab (Geolocation, Mikrofon, etc.).

Befunde (1)

  • Header fehlt: Permissions-Policy

Was sind HTTP-Security-Header?

HTTP-Security-Header sind kleine Anweisungen, die dein Webserver mit jeder Antwort an den Browser mitschickt. Sie sagen dem Browser, wie er die Webseite behandeln soll — beispielsweise: "Lass keine fremden Skripte zu" (CSP), "Lade mich nie als iframe" (X-Frame-Options) oder "Sprich mit mir nur über HTTPS" (HSTS).

Die sechs hier geprüften Header decken die wichtigsten Angriffsklassen ab: HSTS verhindert SSL-Stripping bei Man-in-the-Middle-Angriffen. CSP ist die wichtigste Verteidigung gegen Cross-Site-Scripting (XSS). X-Frame-Options blockt Clickjacking. X-Content-Type-Options verhindert MIME-Sniffing-Angriffe. Referrer-Policy kontrolliert, welche Informationen beim Klick auf externe Links übertragen werden. Permissions-Policy regelt, welche Browser-Features (Geolocation, Mikrofon, Kamera) auf der Seite erlaubt sind.

Header werden in der Webserver-Konfiguration gesetzt — bei nginx in add_header, bei Apache in Header set, bei Cloudflare über "Transform Rules". Bei Frameworks wie Flask oder Express gibt es Helm-Pakete (z. B. flask-talisman), die alles mit sinnvollen Defaults konfigurieren.

Auch für siemens.com prüfen

SSL-Check geprüft

SSL/TLS-Zertifikat, Restlaufzeit, Cipher.
DMARC-Lookup geprüft

SPF, DMARC, DKIM und MX-Records.
DNS-Lookup geprüft

A, AAAA, MX, NS, TXT, CAA, SOA.
Whois/RDAP geprüft

Registrar, Ablaufdatum, Status, Nameserver.
Port-Scan geprüft

20 gängige TCP-Ports, kritische rot markiert.
Cookie-Audit geprüft

Set-Cookie-Header, Flags, Tracking-Erkennung.

Hintergrund im Lexikon

CSP erklärt csp

Die Content-Security-Policy ist der wichtigste Browser-seitige Schutz gegen XSS. Hier erfaehrst du, wie eine CSP aufgebaut ist und wie du si…
HSTS erklärt hsts

HSTS (Strict-Transport-Security) zwingt Browser dauerhaft auf HTTPS. Hier erfaehrst du, wie der Header aufgebaut ist, was includeSubDomains …
X-Frame-Options erklärt x-frame-options

X-Frame-Options verhindert Clickjacking-Angriffe, indem es regelt, ob deine Webseite in einem iframe eingebettet werden darf. Werte DENY, SA…
Referrer-Policy erklärt referrer-policy

Die Referrer-Policy regelt, welche Informationen beim Klick auf externe Links uebertragen werden. Werte, Privacy-Auswirkungen und sichere De…
Permissions-Policy erklärt permissions-policy

Die Permissions-Policy schaltet Browser-Features wie Geolocation, Mikrofon, Kamera und FLoC selektiv ab. Aufbau, alle Direktiven und Default…
MIME-Sniffing & X-Content-Type-Options erklärt mime-sniffing

X-Content-Type-Options: nosniff verhindert, dass Browser den MIME-Type von Dateien selbst raten. Schutz gegen Cross-Site-Scripting und Drive…
Cookie-Flags erklärt cookie-flags

Secure, HttpOnly und SameSite — die drei wichtigsten Cookie-Flags und wozu sie da sind. Wie du Sessions gegen XSS, MITM und CSRF absicherst.

Vollständiger Sicherheits-Audit für siemens.com

SSL, Header, DNS, E-Mail, DSGVO, CMS und CVEs in einem Bericht.

Geprüft am 14.05.2026 20:34 Uhr · Live geprüft