ZenovayTools

Sicherheits-Header-Prüfer

Prüfen Sie alle 8 modernen HTTP-Sicherheits-Header — HSTS, CSP, Permissions-Policy, Referrer-Policy, X-Frame-Options und weitere. Bewertung A-F mit Auswirkungen auf Datenschutz und Datenfluss.

So verwenden Sie Sicherheits-Header-Prüfer

  1. 1Geben Sie die URL der Website ein, die Sie überprüfen möchten.
  2. 2Sehen Sie alle erkannten HTTP-Sicherheits-Header (oder fehlende) in der Antwort.
  3. 3Überprüfen Sie die Analyse pro Header mit Sicherheits- und Datenschutzauswirkungen.
  4. 4Befolgen Sie die Korrekturempfehlungen, um Ihre Sicherheitsbewertung zu verbessern.
ZenovayAnalytics

Sehen Sie, wer gerade auf Ihrer Seite ist.

  • Besucher-Tracking in Echtzeit
  • Datenschutz zuerst, kein Cookie-Banner
  • In zwei Minuten eingerichtet
Zenovay entdecken

Verwandte Tools

Passwort-Generator
Generieren Sie starke, zufällige Passwörter mit anpassbarer Länge, Zeichen und Komplexität.
Passwort-Stärke-Prüfer
Überprüfen Sie, wie stark Ihr Passwort ist. Erhalten Sie eine geschätzte Knackzeit und Verbesserungsvorschläge.
HMAC-Generator
Generieren Sie HMAC-Signaturen mit SHA-256, SHA-384 oder SHA-512 mit der Web Crypto API.
AES-Verschlüsselung/Entschlüsselung
Verschlüsseln und entschlüsseln Sie Text mit AES-GCM und PBKDF2-Schlüsselableitung. Läuft vollständig in Ihrem Browser.

Häufig gestellte Fragen

Welche HTTP-Sicherheits-Header prüft dieses Tool?
Dieses Tool prüft 8 wichtige HTTP-Sicherheits-Header: Strict-Transport-Security (HSTS), Content-Security-Policy (CSP), X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, Cross-Origin-Opener-Policy (COOP) und X-XSS-Protection. Jeder Header wird auf Korrektheit analysiert und bewertet.
Warum ist Permissions-Policy ein Datenschutzproblem?
Permissions-Policy steuert, welche Browser-APIs (Kamera, Mikrofon, Geolokalisierung, Zahlung) von Ihrer Seite und Drittanbieter-Skripten zugegriffen werden können. Ohne diese Einstellung können auf Ihrer Website geladene Werbe-Tracker Standortzugriff von Ihren Nutzern anfordern. Das Einschränken dieser APIs mit geolocation=(), camera=(), microphone=() verhindert, dass Tracker sensible Berechtigungen anfordern.
Warum ist Referrer-Policy für den Datenschutz wichtig?
Ohne Referrer-Policy senden Browser die vollständige URL jeder Seite (einschliesslich Pfad und Abfrageparameter wie [email protected]) an jede Drittanbieter-Ressource - Analytics-Tools, CDNs und Werbenetzwerke. Das Setzen von Referrer-Policy: strict-origin-when-cross-origin begrenzt Cross-Origin-Referrer-Daten auf nur die Domain und verhindert URL-basierte Datenlecks.
Was ist HSTS und warum brauche ich es?
HTTP Strict Transport Security (HSTS) teilt Browsern mit, dass Ihre Website nur über HTTPS aufgerufen werden darf. Ohne es kann ein Angreifer im selben Netzwerk HTTP-Verbindungen abfangen (SSL-Stripping-Angriff). Sobald HSTS mit einem langen max-age gesetzt ist, werden Browser es ablehnen, sich über einfaches HTTP mit Ihrer Website zu verbinden, selbst wenn der Nutzer manuell http:// eingibt.
Mein CSP fehlt - wie erstelle ich einen?
CSP kann komplex sein, um es richtig zu konfigurieren. Beginnen Sie mit Content-Security-Policy: default-src 'self'; script-src 'self'; object-src 'none'; upgrade-insecure-requests und iterieren Sie. Verwenden Sie zuerst den Report-Only-Modus zum Testen, ohne etwas zu brechen. Mozilla Observatory und CSP Evaluator können Ihre Richtlinie validieren.
Was ist X-Frame-Options und wird es noch benötigt?
X-Frame-Options verhindert, dass Ihre Website in iframes auf anderen Domains eingebettet wird (Clickjacking-Schutz). CSPs frame-ancestors-Direktive ist der moderne Ersatz, aber X-Frame-Options wird noch für aeltere Browser benötigt. Verwenden Sie X-Frame-Options: DENY, ausser wenn Sie Same-Domain-iframe-Einbettung benötigen.
Wie fuege ich meiner Website Sicherheits-Header hinzu?
Für Nginx: Header im server{}-Block hinzufügen. Für Apache: Header-set-Direktiven in .htaccess oder httpd.conf verwenden. Für Cloudflare: Transform Rules verwenden, um Antwort-Header zu ändern. Für Vercel/Netlify: next.config.js headers() oder netlify.toml verwenden. Die meisten CDNs und Hosting-Plattformen unterstützen benutzerdefinierte Antwort-Header.