HTTP Header Check Online
HTTP-Header und Security-Header einer Website analysieren — Content-Security-Policy, HSTS, X-Frame-Options, Server-Infos und Caching auf einen Blick prüfen.
Passende Artikel zum Tool
So funktioniert der HTTP Header Check
Unser HTTP Header Check ruft die öffentlich zugänglichen HTTP-Antwort-Header der eingegebenen URL ab und bewertet diese nach Sicherheitskriterien. Die Bewertung erfolgt anhand des Vorhandenseins wichtiger Sicherheitsheader wie HSTS, CSP, X-Frame-Options und weiterer. Das Ergebnis zeigt Ihnen auf einen Blick, welche Header fehlen und wie Sie Ihre Webserver-Konfiguration verbessern können.
Welche HTTP-Header sind sicherheitsrelevant?
Jede Antwort eines Webservers enthält Header — Metadaten, die der Browser auswertet, bevor er den Inhalt rendert. Einige davon entscheiden direkt darüber, ob Ihre Website gegen typische Angriffsklassen wie Clickjacking, Cross-Site-Scripting (XSS) oder Mixed-Content-Injection geschützt ist. Die wichtigsten sechs Header und ihre Wirkung:
- Content-Security-Policy (CSP) — definiert, von welchen Domains Scripts, Styles und Bilder geladen werden dürfen. Schutz gegen XSS und Code-Injection.
- Strict-Transport-Security (HSTS) — zwingt Browser für eine festgelegte Zeit auf HTTPS. Verhindert SSL-Stripping-Angriffe.
- X-Frame-Options — verhindert, dass Ihre Seite in einem
iframeauf fremden Domains geladen wird. Schutz gegen Clickjacking. - X-Content-Type-Options: nosniff — verhindert MIME-Sniffing durch den Browser. Vermeidet, dass etwa eine als Bild getarnte JS-Datei plötzlich ausgeführt wird.
- Referrer-Policy — kontrolliert, welche Referrer-Information bei Klicks auf externe Links weitergegeben wird. Datenschutz-relevant.
- Permissions-Policy — schaltet Browser-APIs (Kamera, Mikrofon, Geolocation) für die Seite ab, wenn sie nicht gebraucht werden.
Wie Sie unsere Note lesen
Wir vergeben einen Score von A bis F, basierend auf Anzahl und Qualität der gesetzten Sicherheitsheader. Ein A bedeutet: alle sechs Header sind sauber konfiguriert. Ein D oder F bedeutet meistens: HSTS und/oder CSP fehlen — das sind die beiden wirkungsstärksten. Eine konkrete Verbesserung von D auf B erreichen Sie typisch mit zwei Zeilen in der Server-Konfiguration; eine A-Note braucht oft 30 Minuten Feinabstimmung der CSP-Direktiven.
Typische Anwendungsfälle
Webmaster prüfen die eigene Seite vor und nach Deploy. Entwickler-Teams nutzen das Tool im Code-Review für Pull-Requests, die die Server-Config ändern. IT-Verantwortliche scannen kritische Dienste regelmäßig — viele Compliance-Frameworks (PCI-DSS, ISO 27001 BCM) erwarten dokumentierte Sicherheitsheader. Für vertiefendes Background-Wissen siehe unseren Artikel Ports und Firewalls sowie die Glossar-Einträge zu HSTS und TLS.
Häufige Fragen zum HTTP Header Check
Was sind HTTP-Header?
HTTP-Header sind Metadaten, die bei jeder Anfrage zwischen Browser und Server ausgetauscht werden. Sie enthalten Informationen über den Inhaltstyp, Caching-Regeln, Sicherheitsrichtlinien und Serverdetails. Sicherheitsheader wie HSTS, CSP und X-Frame-Options schützen vor häufigen Angriffen.
Welche Sicherheitsheader sind wichtig?
Die wichtigsten sind: Strict-Transport-Security (HSTS) erzwingt HTTPS, Content-Security-Policy (CSP) verhindert XSS-Angriffe, X-Frame-Options schützt vor Clickjacking, X-Content-Type-Options verhindert MIME-Sniffing, und Referrer-Policy kontrolliert, welche Informationen an andere Websites weitergegeben werden.
Wie verbessere ich meine Sicherheitsbewertung?
Fügen Sie fehlende Sicherheitsheader in Ihrer Webserver-Konfiguration (Apache .htaccess oder Nginx) hinzu. Beginnen Sie mit HSTS und X-Content-Type-Options, da diese am einfachsten zu implementieren sind. Testen Sie nach jeder Änderung erneut mit unserem Tool.