Security Headers Check

Überprüfen Sie die HTTP-Sicherheitsheader Ihrer Website. Unser Tool analysiert HSTS, CSP, X-Frame-Options und weitere Header und zeigt konkrete Verbesserungsvorschläge.

Was sind HTTP Security Headers?

HTTP-Sicherheitsheader im Überblick

HTTP Security Headers sind Anweisungen, die ein Webserver bei jeder Antwort an den Browser mitsendet. Sie steuern, wie der Browser mit Inhalten umgehen soll, und bilden eine wichtige Verteidigungsschicht gegen gängige Webangriffe. Ohne diese Header ist Ihre Website anfällig für Cross-Site-Scripting (XSS), Clickjacking, MIME-Sniffing und andere Angriffsvektoren. Die korrekte Konfiguration erfordert kein tiefgreifendes Umschreiben des Codes — in den meisten Fällen genügt eine Anpassung der Webserver-Konfiguration oder des Reverse Proxys.

Strict-Transport-Security (HSTS)

HSTS zwingt den Browser, ausschließlich verschlüsselte HTTPS-Verbindungen zu nutzen. Sobald ein Browser den HSTS-Header empfängt, wird er für die angegebene Dauer (max-age) keine unverschlüsselten HTTP-Anfragen mehr an diese Domain senden. Mit der Direktive "includeSubDomains" gilt der Schutz auch für alle Subdomains. Durch "preload" kann die Domain in die HSTS-Preload-Listen der Browser eingetragen werden, sodass selbst der allererste Besuch über HTTPS erfolgt.

Content-Security-Policy (CSP)

Die Content-Security-Policy ist der mächtigste Sicherheitsheader. Sie legt fest, aus welchen Quellen der Browser Skripte, Stylesheets, Bilder, Fonts und andere Ressourcen laden darf. Eine strenge CSP verhindert effektiv Cross-Site-Scripting-Angriffe, da eingeschleuster Schadcode nicht ausgeführt werden kann. Die Konfiguration erfordert Sorgfalt: zu restriktive Regeln können die Funktionalität der Website beeinträchtigen, zu lockere Regeln bieten keinen Schutz.

Weitere wichtige Header

X-Content-Type-Options mit dem Wert "nosniff" verhindert, dass Browser den MIME-Typ einer Ressource raten — ein häufiger Einstiegspunkt für Angriffe. X-Frame-Options schützt vor Clickjacking, indem es die Einbettung Ihrer Seite in iframes kontrolliert. Die Referrer-Policy bestimmt, wie viel Referrer-Information bei Links und Anfragen weitergegeben wird, was sowohl Datenschutz als auch Sicherheit betrifft. Die Permissions-Policy begrenzt den Zugriff auf sensitive Browser-APIs wie Kamera, Mikrofon und Standort.

Warum regelmäßig prüfen?

Sicherheitsheader können durch Server-Updates, CDN-Änderungen oder Migrationen unbemerkt verloren gehen. Ein regelmäßiger Check stellt sicher, dass der Schutz dauerhaft aktiv bleibt. Unser Tool prüft alle relevanten Header in Sekunden und gibt Ihnen konkrete Handlungsempfehlungen zur Verbesserung Ihrer Web-Sicherheit.

Weitere Tools

SSL/TLS-Zertifikat prüfenPrüfen Sie ergänzend das SSL/TLS-Zertifikat Ihrer Website auf Gültigkeit und Ablaufdatum.
DSGVO Quick-CheckSecurity Headers sind Teil der DSGVO-Anforderungen — prüfen Sie Ihre Website auf weitere Compliance-Aspekte.

Professionelle Analyse gewünscht?

Unsere Tools geben einen ersten Überblick. Für eine umfassende Bewertung Ihrer IT-Sicherheit bieten wir professionelle Assessments.

Assessment anfragen