HTTP-Sicherheitsheader-Referenz
HTTP-Sicherheitsheader-Referenz und Prüfer — CSP, HSTS, X-Frame-Options, CORS und mehr.
Content-Security-Policy
cspPrevents XSS attacks by controlling which resources the browser is allowed to load.
Empfohlener Wert: default-src 'self'; script-src 'self'; style-src 'self' 'unsafe-inline'; img-src 'self' data: https:;
Sicherheitsrisiko ohne: Cross-site scripting (XSS) attacks
Content-Security-Policy: default-src 'self'
Strict-Transport-Security
transportForces HTTPS connections and prevents SSL stripping attacks.
Empfohlener Wert: max-age=31536000; includeSubDomains; preload
Sicherheitsrisiko ohne: Man-in-the-middle attacks, SSL stripping
Strict-Transport-Security: max-age=31536000; includeSubDomains
X-Frame-Options
clickjackingPrevents the page from being displayed in a frame/iframe to protect against clickjacking.
Empfohlener Wert: DENY or SAMEORIGIN
Sicherheitsrisiko ohne: Clickjacking attacks
X-Frame-Options: DENY
X-Content-Type-Options
cspPrevents MIME type sniffing which can lead to security vulnerabilities.
Empfohlener Wert: nosniff
Sicherheitsrisiko ohne: MIME confusion attacks
X-Content-Type-Options: nosniff
Referrer-Policy
cspControls how much referrer information is included in requests.
Empfohlener Wert: strict-origin-when-cross-origin
Sicherheitsrisiko ohne: Information leakage via Referer header
Referrer-Policy: strict-origin-when-cross-origin
Permissions-Policy
cspControls which browser features and APIs can be used in the browser.
Empfohlener Wert: camera=(), microphone=(), geolocation=(self)
Sicherheitsrisiko ohne: Unauthorized access to browser APIs
Permissions-Policy: camera=(), microphone=()
Access-Control-Allow-Origin
corsSpecifies which origins can access the resource.
Empfohlener Wert: Specific origin or same-origin only — avoid wildcard (*) for authenticated resources
Sicherheitsrisiko ohne: Cross-origin data access
Access-Control-Allow-Origin: https://example.com
Access-Control-Allow-Methods
corsSpecifies the HTTP methods allowed for cross-origin requests.
Empfohlener Wert: GET, POST, PUT, DELETE (only what is needed)
Sicherheitsrisiko ohne: Unauthorized HTTP methods via CORS
Access-Control-Allow-Methods: GET, POST
Cache-Control
cacheControls how responses are cached by browsers and proxies.
Empfohlener Wert: no-store, no-cache (for sensitive data); max-age=31536000 (for static assets)
Sicherheitsrisiko ohne: Sensitive data cached and exposed
Cache-Control: no-store, no-cache, must-revalidate
Cross-Origin-Resource-Policy
corsPrevents other origins from reading the response of this resource.
Empfohlener Wert: same-origin or same-site
Sicherheitsrisiko ohne: Cross-origin information leakage
Cross-Origin-Resource-Policy: same-origin
Cross-Origin-Opener-Policy
corsAllows you to ensure a top-level document does not share a browsing context group with cross-origin documents.
Empfohlener Wert: same-origin
Sicherheitsrisiko ohne: Cross-origin attacks via shared browsing context
Cross-Origin-Opener-Policy: same-origin
X-XSS-Protection
cspLegacy header — enables the browser's built-in XSS filter. Mostly superseded by CSP.
Empfohlener Wert: 1; mode=block (legacy) or omit in favor of CSP
Sicherheitsrisiko ohne: XSS attacks in older browsers without CSP
X-XSS-Protection: 1; mode=block
Header-Checker
Fügen Sie Ihre HTTP-Antwortheader zur Überprüfung ein
Über dieses Tool
HTTP-Sicherheitsheader sind spezialisierte Response-Header, die Webbrowsern mitteilen, wie sie sich vor häufigen Webanfällbarkeiten schützen können. Anders als allgemeine HTTP-Header, die Caching oder Content-Lieferung steuern, schaffen Sicherheitsheader einen Schutzperimeter um deine Webanwendung, indem sie Angriffe wie Cross-Site Scripting (XSS), Clickjacking, MIME-Typ-Ausbeutung und datenübergreifenden Datendiebstahl verhindern.
Dieses Tool bietet sowohl eine umfassende Referenz für alle wichtigen Sicherheitsheader als auch einen interaktiven Prüfer, der deine aktuelle Sicherheitslage analysiert. Füge deine HTTP-Response-Header ein oder gib eine Domain ein, und sehe sofort, welche Sicherheitsheader vorhanden sind, welche fehlen und wie deine Konfiguration im Vergleich zu Best Practices der Branche bewertet wird.
Webentwickler, DevOps-Ingenieure und Sicherheitsteams nutzen diese Referenz, um ihre Implementierungen ohne Code-Änderungen zu härten. Die meisten Sicherheitsheader werden rein über Serverkonfiguration, Reverse-Proxy-Regeln oder Application-Framework-Plugins konfiguriert — sie gehören zu den schnellsten Gewinnen für die Verbesserung der Widerstandsfähigkeit deiner Website gegen moderne Bedrohungen.
Häufig gestellte Fragen
Comments & Feedback
Comments are powered by Giscus. Sign in with GitHub to leave a comment.