HTTP-Header-Viewer
Was dieses HTTP-Header-Tool kann
- Kategorisiert Header in Sicherheit, Leistung, SEO, veraltet und andere Gruppen für schnelleres Scannen
- Berechnet einfache Bewertungen für Gesamt-, Sicherheits-, Leistungs- und SEO-Header, um auf einen Blick zu zeigen, wo Sie stehen
- Hebt Sicherheitsheader wie CSP, HSTS, Referrer-Policy, X-Frame-Options, COOP/COEP/CORP und Origin-Agent-Cluster hervor
- Analysiert Set-Cookie-Flags, um fehlende Secure-, HttpOnly- oder SameSite-Attribute zu erkennen
- Erkennt veraltete oder riskante Header wie X-XSS-Protection, X-Powered-By und Server-Banner, die Implementierungsdetails preisgeben
- Hilft bei der Optimierung von Leistungsheadern wie Cache-Control, Content-Encoding, ETag, Last-Modified und Server-Timing
- Zeigt SEO-bezogene Header wie Link (kanonisch/alternativ) und X-Robots-Tag sowie Content-Language, falls vorhanden
- Kein Konto, kein API-Schlüssel – einfach eine öffentliche URL einfügen, Header inspizieren und Ihre Konfiguration iterieren
🛠️ So verwenden Sie den HTTP-Header-Viewer for http-headers-viewer
1. URL eingeben
🔗 Fügen Sie eine gültige HTTP- oder HTTPS-URL in das Eingabefeld ein. Öffentliche Endpunkte oder öffentlich zugängliche APIs funktionieren am besten.
2. Header abrufen
🌐 Das Backend fordert die URL an und sammelt Antwort-Header, wobei möglichst Weiterleitungen befolgt werden. Nur Header und grundlegende Metadaten werden geprüft – nicht der vollständige HTML-Body.
3. Kategorien & Bewertungen überprüfen
🧠 Header werden in Sicherheit, Leistung, SEO, Cookies, veraltet und andere Gruppen eingeteilt. Das Tool leitet Bewertungen, Probleme, Warnungen und Empfehlungen aus Ihrer Header-Konfiguration ab.
4. Korrigieren und erneut testen
🔁 Passen Sie Ihre Server-, CDN- oder Reverse-Proxy-Konfiguration an und führen Sie dann die Prüfung erneut durch, bis Bewertungen und Warnungen Ihren Zielen entsprechen. Nutzen Sie es als schnelles Feedback, wenn Sie Infrastruktur anpassen.
Technische Details
Anfrage- & Antwortbehandlung
Das Tool konzentriert sich auf Antwort-Header und grundlegende Verbindungsmetadaten anstelle von vollständigen Seiteninhalten.
| Aspekt | Verhalten | Hinweise |
|---|---|---|
| HTTP-Methode | HEAD oder GET (implementierungsabhängig) | Nur Header werden geprüft; Bodies werden ignoriert, es sei denn, ein GET-Fallback ist erforderlich. |
| Weiterleitungen | Weiterleitungskette wird bei Verfügbarkeit aufgezeichnet | Nützlich zum Debuggen von 301/302-Ketten, kanonischen Zielen und fehlkonfigurierten Sprüngen. |
| HTTP-Version | Wird bei Bereitstellung erfasst | Hilft bei der Identifizierung von HTTP/1.1 vs. HTTP/2/3-Setups und potenziellen Upgrade-Möglichkeiten. |
| Server-Banner | Aus dem Server-Header gelesen | Wird verwendet, um vor potenziellem Informationsleck (Framework, Version) zu warnen. |
| Fehlerbehandlung | Fehlerfeld separat angezeigt | Wenn der Abruf fehlschlägt, erhalten Sie trotzdem einen lesbaren Fehlerzustand anstatt eines Absturzes. |
Header-Klassifizierung & Analyse
Header werden normalisiert und dann in typisierte Gruppen mit spezifischen Prüfungen und Hinweisen analysiert.
| Kategorie | Typische Header | Prüfungen & Einblicke |
|---|---|---|
| Sicherheit | Content-Security-Policy, Strict-Transport-Security, X-Frame-Options, Referrer-Policy, Permissions-Policy, COOP/COEP/CORP, Origin-Agent-Cluster | Validiert das Vorhandensein, markiert schwache oder fehlende Direktiven, erkennt unsichere CSP-Muster und Entwicklungsursprünge. |
| Leistung | Cache-Control, Content-Encoding, ETag, Last-Modified, Accept-Ranges, Link (preload/prefetch), Server-Timing | Prüft auf Caching-Hinweise, Komprimierung, Byte-Range-Unterstützung und leistungsbezogene Link-Header. |
| SEO | Link (canonical/alternate), X-Robots-Tag, Content-Language | Erkennt kanonische/alternative Hinweise und Robot-Direktiven auf Header-Ebene sowie Sprachmetadaten, falls vorhanden. |
| Cookies | Set-Cookie | Scannt nach Secure-, HttpOnly-, SameSite-Attributen und warnt, wenn Flags fehlen oder schwach erscheinen. |
| Veraltet | X-XSS-Protection, Public-Key-Pins, veraltete CSP-Varianten | Markiert Header, die entfernt oder durch moderne Alternativen ersetzt werden sollten. |
Bewertungsmodell
Die Bewertungen sind heuristisch, keine vollständige Sicherheitsprüfung, helfen jedoch bei der Priorisierung von Arbeiten und dem Vergleich von Umgebungen.
| Bewertung | Was gemessen wird | Wie es berechnet wird |
|---|---|---|
| Gesamtbewertung | Allgemeine Header-Hygiene | Verhältnis über alle gewichteten Header – hauptsächlich präsenzbasiert mit leichter Gewichtung. |
| Sicherheitsbewertung | Sicherheitsbezogene Härtung | Gewichtet CSP, HSTS, Framing-Kontrolle, Referrer-Policy, Permissions-Policy, COOP/COEP/CORP und Origin-Agent-Cluster. |
| Leistungsbewertung | Caching & Übertragungseffizienz | Gewichtet Cache-Control, Content-Encoding, ETag, Last-Modified, Accept-Ranges, Server-Timing und leistungsbezogene Link-Nutzung. |
| SEO-Bewertung | SEO-Signale auf Header-Ebene | Gewichtet X-Robots-Tag, kanonische/alternative Link-Header und Content-Language, falls vorhanden. |
CLI-Alternativen zur Header-Überprüfung
Bevorzugen Sie das Terminal oder die Integration von Header-Prüfungen in CI/CD? Verwenden Sie diese Befehle als lokale Begleiter zu diesem Tool:
Linux/macOS
Antwort-Header mit curl anzeigen
curl -I https://example.comSendet eine HEAD-Anfrage und gibt Antwort-Header für eine schnelle Plausibilitätsprüfung aus.
Ausführliche Ausgabe mit Headern und TLS-Aushandlung
curl -v https://example.comNützlich beim Debuggen von Weiterleitungen, TLS-Konfiguration und Verbindungsdetails.
Windows (PowerShell)
Header mit Invoke-WebRequest abrufen und überprüfen
(Invoke-WebRequest -Uri https://example.com).HeadersZeigt Header als PowerShell-Objekt an, bereit für zusätzliche Filterung oder Skripterstellung.
Praktische Anwendungen
Sicherheitsheader-Überprüfung
- Prüfen Sie auf fehlende CSP-, HSTS-, Referrer-Policy- oder Permissions-Policy-Header bei wichtigen Endpunkten.
- Erkennen Sie unsichere CSP-Direktiven wie 'unsafe-inline' ohne Nonces oder Hashes.
- Identifizieren Sie Cookies ohne Secure- oder SameSite-Attribute und planen Sie Korrekturen zur Sitzungshärtung.
Leistungs- und Caching-Diagnose
- Überprüfen Sie die Cache-Control-, ETag- und Content-Encoding-Konfiguration über statische und dynamische Routen hinweg.
- Verifizieren Sie das Vorhandensein von Leistungshinweisen wie Preload- oder Preconnect-Link-Headern von Ihrem CDN.
- Vergleichen Sie leistungsbezogene Header zwischen Staging-, Preview- und Produktionsumgebungen.
SEO- und Weiterleitungskettenanalyse
- Überprüfen Sie 301/302-Weiterleitungsketten und bestätigen Sie, dass die endgültige Ziel-URL kanonisch und sicher ist.
- Prüfen Sie kanonische und alternative Link-Header auf HTML-Seiten oder lokalisierten Versionen.
- Validieren Sie X-Robots-Tag-Direktiven für Indexierung, Snippet-Verhalten und Medienbehandlung.
❓ Frequently Asked Questions
❓Was sind HTTP-Antwortheader und warum sind sie wichtig?
HTTP-Antwortheader sind Schlüssel-Wert-Paare, die vom Server vor dem Body gesendet werden. Sie steuern Caching, Sicherheitsrichtlinien, Weiterleitungen, CORS, Cookies und wie Browser und Crawler Ihre Website interpretieren. Sie korrekt zu setzen ist entscheidend für Sicherheit, Leistung und SEO.🔒Werden die von mir getesteten URLs irgendwo gespeichert?
🧪Kann ich damit API-Antworten überprüfen?
API-Endpunkt vom anfragenden Server aus öffentlich erreichbar ist. Dies ist besonders nützlich, um CORS-Header, Ratenbegrenzungshinweise, Cache-Verhalten und Content-Types bei JSON- oder XML-APIs zu überprüfen.🕵️♂️Funktioniert es für Seiten hinter einer Authentifizierung?
📈Ist die Bewertung eine vollständige Sicherheitsprüfung?
Pro Tips
Vergleichen Sie Header zwischen Staging-, Vorschau- und Produktionsumgebungen, um fehlende Sicherheitshärtungen oder Caching-Regeln in einer Umgebung zu erkennen.
Behandeln Sie die Server- und X-Powered-By-Header als Informationslecks – entfernen oder minimieren Sie sie in der Produktion, wann immer möglich.
Optimieren Sie Cache-Control und Content-Encoding zuerst für statische Assets – sie bringen oft die größten Leistungssteigerungen mit minimalem Risiko.
Führen Sie dieses Tool nach jeder größeren Infrastrukturänderung (CDN, Reverse-Proxy, TLS-Offload, neuer Host) aus, um zu bestätigen, dass die Header weiterhin korrekt aussehen.
Additional Resources
Other Tools
- CSS-Verschönerer
- HTML-Verschönerer
- JavaScript-Verschönerer
- PHP-Verschönerer
- Farbauswahl
- Sprite-Extraktor
- Base64-Decoder
- Base64-Encoder
- Csharp-Formatierer
- CSV-Formatierer
- Dockerfile Formatter
- Elm-Formatierer
- ENV-Formatierer
- Go-Formatierer
- GraphQL-Formatierer
- HCL-Formatierer
- INI-Formatierer
- JSON-Formatierer
- LaTeX-Formatierer
- Markdown-Formatierer
- Objective-C-Formatierer
- Php Formatter
- Proto-Formatierer
- Python-Formatierer
- Ruby-Formatierer
- Rust-Formatierer
- Scala-Formatierer
- Shell-Skript-Formatierer
- SQL-Formatierer
- SVG-Formatierer
- Swift-Formatierer
- TOML-Formatierer
- Typescript Formatter
- XML-Formatierer
- YAML-Formatierer
- Yarn-Formatierer
- CSS-Minifizierer
- Html Minifier
- Javascript Minifier
- JSON-Minifizierer
- XML-Minifizierer
- PDF zu Text
- Regex-Tester
- SERP-Rang-Prüfer
- Whois-Abfrage