Skip to main contentSkip to navigation

Security Headers Analyzer

Analyze HTTP response headers for security best practices

HTTP Response Headers

Paste raw response headers (from your server, curl -I, or browser devtools).

Analysis

HSTS
Header not present
Forces HTTPS and protects against protocol downgrade attacks.
CSP
Header not present
Mitigates XSS by whitelisting sources.
X-Frame-Options
Header not present
Prevents clickjacking in iframes.
X-Content-Type-Options
Header not present
Prevents MIME sniffing.
Referrer-Policy
Header not present
Controls referer leakage.
Permissions-Policy
Header not present
Restricts powerful browser features.
COOP
Header not present
Isolates browsing context for security.
COEP
Header not present
Required for certain isolation models.
CORP
Header not present
Restricts cross-origin resource loading.

Security Headers Analyzer - HTTP-Header prüfen

HTTP‑Sicherheitsheader sind eine wichtige Verteidigungslinie gegen Web‑Schwachstellen: Sie veranlassen Browser, Sicherheitsrichtlinien durchzusetzen, die Nutzer vor XSS, Clickjacking, MITM‑Angriffen und Datenabfluss schützen. Dieser Analyzer bewertet die Response‑Header Ihrer Seite anhand bewährter Praktiken, erkennt Lücken und gibt konkrete Härtungsempfehlungen. Eine saubere Header‑Konfiguration ist entscheidend für Compliance, Vertrauen und Schutz vor neuen Bedrohungen.

Wichtige Sicherheitsheader und ihre Wirkung

Content‑Security‑Policy (CSP) reduziert XSS, indem Quellen und Inline‑Skripte gesteuert werden. Strict‑Transport‑Security (HSTS) erzwingt HTTPS und verhindert Downgrade‑Angriffe. X‑Frame‑Options bzw. frame‑ancestors unterbinden Clickjacking durch Kontrolle von iFrame‑Einbettungen. X‑Content‑Type‑Options verhindert MIME‑Sniffing. Referrer‑Policy begrenzt Informationsabfluss über den Referrer. Permissions‑Policy regelt Zugriff auf APIs wie Kamera, Mikrofon, Geolocation. Zusammen liefern sie Defense‑in‑Depth gegen gängige Angriffsvektoren.

CSP: erweiterte Konfiguration und Best Practices

CSP erfordert Feineinstellung zwischen Sicherheit und Funktion. Starten Sie restriktiv (z. B. default‑src 'self'; img‑src 'self' data:; style‑src 'self' 'unsafe‑inline'; script‑src 'self') und lockern Sie kontrolliert. Nutzen Sie Nonces/Hashes statt 'unsafe‑inline'. Führen Sie CSP schrittweise ein: zunächst report‑only zum Erkennen von Verstößen, dann beheben und durchsetzen. Überwachen Sie Reports auf Angriffe und Fehlkonfigurationen. Für komplexe Apps sind differenzierte Policies oder strict‑dynamic sinnvoll.

HSTS‑Einführung und Subdomain‑Aspekte

HSTS verhindert SSL‑Stripping, indem Browser künftige Verbindungen nur per HTTPS zulassen. Beginnen Sie mit kurzer max‑age (Test), erhöhen Sie für Produktion. 'includeSubDomains' schützt alle Subdomains – vorausgesetzt, sie unterstützen HTTPS. Für Vorab‑Schutz erwägen Sie 'preload'. HSTS ist persistent: Browser behalten die Richtlinie auch nach Entfernen des Headers bei – daher gründlich testen.

Häufige Fehler und Troubleshooting

Zu großzügige CSP (script‑src '*' oder 'unsafe‑eval') untergräbt Schutz. Fehlendes HSTS auf Login‑Seiten ermöglicht Downgrade‑Angriffe. Falsch gesetzte X‑Frame‑Options kann legitime iFrames stören oder Clickjacking nicht verhindern. Widersprüchliche Header (X‑Frame‑Options vs. frame‑ancestors) führen zu unerwartetem Verhalten. Testen Sie Header in verschiedenen Browsern und Flows, prüfen Sie CSP‑Verstöße, HSTS‑Wirksamkeit und die Abdeckung sensibler Seiten.

Sicherheitsheader für APIs und SPAs

APIs benötigen andere Header als klassische Seiten: CORS regelt Cross‑Origin‑Zugriff; CSP ist für JSON‑Endpunkte weniger relevant. SPAs brauchen sorgfältige CSP, um dynamisches Laden zu erlauben und XSS zu verhindern. Erwägen Sie COEP/COOP für Isolation. Gateways/CDNs sollten Header vom Origin erhalten. Setzen Sie Header konsistent in Dev/Staging/Prod, um Konfigurationsfehler früh zu erkennen.

Monitoring, Compliance und Betrieb im großen Maßstab

Überwachen Sie Header mit Tools (z. B. Security Headers, Mozilla Observatory) oder CI/CD‑Scans. Protokollieren Sie CSP‑Verstöße/HSTS‑Reports, um Angriffe und Fehlkonfigurationen zu erkennen. In großen Umgebungen sorgen Konfigurations‑Management und 'Policies as Code' für Konsistenz. Führen Sie regelmäßige Audits durch, prüfen Sie Wirksamkeit und neue Standards. Compliance‑Rahmen (z. B. SOC 2, PCI DSS) verlangen Sicherheitsheader oft explizit.

Further reading

Security headers provide essential protection against web vulnerabilities with minimal performance impact. Implement progressively, monitor violations, test thoroughly across browsers and user flows, and maintain policies as your application evolves. Regular security header audits should be part of your security maintenance routine.