Schnelle Gerätediagnose

Security-Header-Prüfer: CSP, HSTS, X-Frame-Options und mehr testen

Prüfen Sie die HTTP-Sicherheitsheader einer öffentlichen Website und bewerten Sie CSP, HSTS, Clickjacking-Schutz, Referrer-Policy, Permissions-Policy und Cross-Origin-Isolation.

Header-Härtung

Security-Header-Prüfer

Prüfen Sie die defensiven HTTP-Header einer öffentlichen Website.

Bereit

Der Prüfer folgt bis zu fünf öffentlichen Weiterleitungen und bewertet die finale Antwort.

Header-Ergebnisse

Starten Sie eine Prüfung, um Details zu Sicherheitsheadern zu sehen.

Security-Header-ScoreNoch keine Header geprüft--/100

Ergebnisse zu Sicherheitsheadern erscheinen hier nach einer erfolgreichen Prüfung.

Warum einen Security-Header-Prüfer online verwenden

Ein Online-Prüfer für Security-Header hilft zu bestätigen, welche HTTP-Schutzmechanismen eine öffentliche Seite im Moment zurückgibt. Diese Header ersetzen keine Anwendungssicherheit, reduzieren aber typische browserseitige Risiken wie Clickjacking, MIME Sniffing, zu breite Referrer, schwache Frame-Regeln und fehlende HTTPS-Erzwingung.

Wie der Test läuft

Das Tool sendet serverseitig eine HTTP- oder HTTPS-Anfrage an die angegebene öffentliche URL, folgt bis zu fünf öffentlichen Weiterleitungen, liest die Header der finalen Antwort und bewertet Vorhandensein sowie grundlegende Qualität der wichtigsten Sicherheitsheader. Geprüft werden Strict-Transport-Security, Content-Security-Policy, Frame-Schutz über CSP oder X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, Cross-Origin-Opener-Policy und Cross-Origin-Resource-Policy.

Wie die Ergebnisse zu interpretieren sind

Beginnen Sie mit fehlenden Headern, die als Fehler markiert sind, und prüfen Sie danach Warnungen, bei denen ein Header existiert, aber für moderne Browser zu schwach sein kann. Ein hoher Score zeigt eine starke Basis für die finale getestete Antwort, während ein niedriger Score auf eine notwendige Prüfung von Webserver, CDN, Framework oder Anwendungskonfiguration hinweist.

  • HSTS hilft Browsern, künftige Besuche nach einem sicheren Besuch über HTTPS zu halten.
  • CSP begrenzt, von wo Skripte, Styles, Frames, Bilder und andere Ressourcen geladen werden dürfen.
  • Frame-Schutz hilft, Clickjacking-Risiken zu reduzieren.
  • Referrer-Policy und Permissions-Policy reduzieren unnötige Browserdatenfreigabe.
  • COOP und CORP helfen, Cross-Origin-Kontexte und Ressourcen zu isolieren.

Dieser Test meldet die Header der finalen öffentlichen Antwort. Er auditiert nicht die gesamte Anwendung, beweist keine perfekte CSP, testet keine privaten Netzwerke und speichert keine personenbezogenen Daten.

Verwandte Tools

Häufig gestellte Fragen

Was testet dieser Security-Header-Prüfer?

Er prüft die HTTP-Response-Header, die von einer öffentlichen URL zurückgegeben werden. Der Bericht konzentriert sich auf CSP, HSTS, Frame-Schutz, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, COOP und CORP.

Wie funktioniert der Security-Header-Prüfer?

Das Tool sendet eine serverseitige Anfrage an die eingegebene URL und liest die Response-Header. Danach bewertet es die Header anhand einer konservativen Basis für übliche Browser-Sicherheitskontrollen.

Kann ich eine Domain ohne Protokoll testen?

Ja. Wenn Sie nur eine Domain eingeben, nutzt der Prüfer standardmäßig HTTPS. Sie können auch eine vollständige HTTP- oder HTTPS-URL eingeben, wenn Sie einen bestimmten Pfad prüfen möchten.

Bedeutet ein perfekter Score, dass meine Website sicher ist?

Nein. Sicherheitsheader sind eine Browser-Härtungsschicht, keine vollständige Sicherheitsprüfung. Ein starker Score bedeutet, dass die geprüfte Antwort eine gute Header-Basis hat, aber die Anwendung benötigt weiterhin sicheren Code, Authentifizierung, Autorisierung und Infrastrukturkontrollen.

Warum ist HSTS wichtig?

HSTS weist Browser an, künftige Besuche nach einer gesehenen sicheren Verbindung über HTTPS auszuführen. Es hilft, Downgrades und versehentliche HTTP-Nutzung zu reduzieren, wenn es mit sinnvoller max-age konfiguriert ist.

Warum kann Content-Security-Policy eine Warnung anzeigen?

Eine CSP kann vorhanden sein und dennoch riskante Muster wie unsichere Inline-Skripte oder unsicheres eval erlauben. Der Prüfer markiert diese Fälle als Warnung, weil der Header hilft, aber die Richtlinie enger gefasst werden sollte.

Was ist Clickjacking-Schutz?

Clickjacking-Schutz begrenzt, ob eine andere Website Ihre Seite in einem Frame anzeigen darf. Er wird meist mit CSP frame-ancestors oder dem älteren Header X-Frame-Options konfiguriert.

Warum unterscheiden sich Ergebnisse zwischen Startseite und einer anderen URL?

Header können pro Route, CDN-Regel, Framework-Antwort oder Origin-Service konfiguriert sein. Testen Sie die genaue URL, die Nutzer laden, denn Startseite, Login-Seite, API-Route und statische Datei können unterschiedliche Header zurückgeben.

Folgt dieser Prüfer Weiterleitungen?

Ja. Er folgt bis zu fünf öffentlichen HTTP- oder HTTPS-Weiterleitungen und bewertet die Header der finalen Antwort, weil Nutzer normalerweise diese Header erhalten. Die Weiterleitungskette wird im Ergebnis angezeigt, damit Sie den Pfad der Anfrage prüfen können.

Kann dieses Tool private oder lokale Websites testen?

Nein. Es ist für öffentliche Domains und öffentliche HTTP- oder HTTPS-URLs gedacht. Localhost, private Netzwerke, interne Hostnamen und reservierte IP-Bereiche werden abgelehnt.

Ist dieser Security-Header-Prüfer sicher zu verwenden?

Ja. Der Prüfer ruft nur die öffentliche URL ab und liest Response-Header. Er benötigt keine Zugangsdaten, verändert die entfernte Website nicht und speichert keine personenbezogenen Daten.

Welchen Header sollte ich zuerst beheben?

Beginnen Sie mit fehlender CSP, HSTS auf HTTPS-Seiten, Frame-Schutz und X-Content-Type-Options. Danach verfeinern Sie Referrer-Policy, Permissions-Policy, COOP und CORP entsprechend der Einbettung und Cross-Origin-Ressourcennutzung Ihrer Anwendung.