Sicherheits-Header-Prüfung: CSP, HSTS, X-Frame-Options und mehr testen
Prüfen Sie die HTTP-Sicherheitsheader einer öffentlichen Website und bewerten Sie CSP, HSTS, Clickjacking-Schutz, Referrer-Policy, Permissions-Policy und Cross-Origin-Isolation.
Header-Härtung
Sicherheits-Header-Prüfung
Prüfen Sie die defensiven HTTP-Header einer öffentlichen Website.
Der Prüfer folgt bis zu fünf öffentlichen Weiterleitungen und bewertet die finale Antwort.
Header-Ergebnisse
Starten Sie eine Prüfung, um Details zu Sicherheitsheadern zu sehen.
Ergebnisse zu Sicherheitsheadern erscheinen hier nach einer erfolgreichen Prüfung.
Warum eine Sicherheits-Header-Prüfung online verwenden
Eine Online-Prüfung für Sicherheits-Header hilft zu bestätigen, welche HTTP-Schutzmechanismen eine öffentliche Seite im Moment zurückgibt. Diese Header ersetzen keine Anwendungssicherheit, reduzieren aber typische browserseitige Risiken wie Clickjacking, MIME-Sniffing, zu breite Referrer, schwache Frame-Regeln und fehlende HTTPS-Erzwingung.
Wie der Test läuft
Das Tool sendet serverseitig eine HTTP- oder HTTPS-Anfrage an die angegebene öffentliche URL, folgt bis zu fünf öffentlichen Weiterleitungen, liest die Header der finalen Antwort und bewertet Vorhandensein sowie grundlegende Qualität der wichtigsten Sicherheitsheader. Geprüft werden Strict-Transport-Security, Content-Security-Policy, Frame-Schutz über CSP oder X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, Cross-Origin-Opener-Policy und Cross-Origin-Resource-Policy.
Wie die Ergebnisse zu interpretieren sind
Beginnen Sie mit fehlenden Headern, die als Fehler markiert sind, und prüfen Sie danach Warnungen, bei denen ein Header existiert, aber für moderne Browser zu schwach sein kann. Eine hohe Punktzahl zeigt eine starke Basis für die finale getestete Antwort, während eine niedrige Punktzahl auf eine notwendige Prüfung von Webserver, CDN, Framework oder Anwendungskonfiguration hinweist.
- HSTS hilft Browsern, künftige Besuche nach einem sicheren Besuch über HTTPS zu halten.
- CSP begrenzt, von wo Skripte, Styles, Frames, Bilder und andere Ressourcen geladen werden dürfen.
- Frame-Schutz hilft, Clickjacking-Risiken zu reduzieren.
- Referrer-Policy und Permissions-Policy reduzieren unnötige Browserdatenfreigabe.
- COOP und CORP helfen, Cross-Origin-Kontexte und Ressourcen zu isolieren.
Dieser Test meldet die Header der finalen öffentlichen Antwort. Er analysiert nicht die gesamte Anwendung, beweist keine perfekte CSP, testet keine privaten Netzwerke und speichert keine personenbezogenen Daten.
Verwandte Tools
- NetzwerktestSSL-Zertifikat-PrüfungNutze diese SSL-Zertifikat-Prüfung, um Ablauf, Aussteller, SAN-Abdeckung, Hostname-Abgleich, Protokoll und Fingerabdruck vor HTTPS-Fehleranalysen zu prüfen.Tool öffnen
- NetzwerktestHTTP/2- und HTTP/3-TestNutze diesen HTTP/2- und HTTP/3-Test, um zu bestätigen, welches Protokoll dein Browser auf dem aktuellen Netzwerkpfad ausgehandelt hat, und um frisches Anfrageverhalten zu vergleichen.Tool öffnen
- NetzwerktestDNS-AbfrageNutze diesen DNS-Lookup, um Domain-Records zu prüfen, erwartete Werte zu vergleichen und Website-, Subdomain- oder Mail-Probleme zu analysieren.Tool öffnen
- NetzwerktestTest für offene PortsNutze diesen Test für offene Ports, um Portweiterleitung, Firewall-Regeln und externen Zugriff auf deiner öffentlichen IP zu prüfen, bevor du Router, Server, NAS, SSH, RDP oder Gameservices tiefer analysierst.Tool öffnen