Sicherheitsheader-Prüfer
Überprüfen Sie eine URL auf fehlende oder riskante Sicherheitsheader (CSP, HSTS, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, COOP/COEP/CORP) und analysieren Sie Cookie-Flags (Secure, HttpOnly, SameSite). Folgen Sie Weiterleitungen zum endgültigen Ziel, exportieren Sie JSON/PDF-Berichte und erhalten Sie umsetzbare Härtungsempfehlungen.
Funktionen
- Folgen Sie Weiterleitungen, um das endgültige HTTPS-Ziel zu prüfen (empfohlen für reale Bereitstellungen).
- Prüft erforderliche Härtungs-Header: Content-Security-Policy, Strict-Transport-Security, X-Content-Type-Options, X-Frame-Options, Referrer-Policy, Permissions-Policy.
- Prüft empfohlene moderne Header: COOP, COEP, CORP, Origin-Agent-Cluster und zusätzliche Härtungssignale, falls vorhanden.
- Cookie-Analyse für Set-Cookie-Flags: Secure, HttpOnly, SameSite; warnt vor SameSite=None ohne Secure.
- CSP-Analyse: hebt unsafe-inline, unsafe-eval, Wildcard-Quellen, fehlende defensive Direktiven (default-src, object-src, base-uri, frame-ancestors) und Report-only-Einschränkungen hervor.
- Markiert veraltete oder riskante Header (z.B. X-XSS-Protection) und Header mit Informationslecks (z.B. Server, X-Powered-By).
- Kopier-/teilbare Ergebnisse für Sicherheitsüberprüfungen, Pentest-Berichte oder Bug-Tickets.
- Berichte als JSON oder PDF herunterladen für Audits, Compliance-Nachweise und Regressionsverfolgung.
🧭 So verwenden Sie es for security-headers-checker
Fügen Sie die zu prüfende URL ein
Geben Sie die vollständige URL ein (vorzugsweise https://…). Das Tool bewertet die von diesem Endpunkt zurückgegebenen Antwortheader.
„Weiterleitungen folgen“ aktivieren (empfohlen)
Viele Websites leiten http→https und non-www→www (oder umgekehrt) weiter. Durch das Folgen von Weiterleitungen wird das endgültige Ziel geprüft, das Benutzer und Bots tatsächlich erreichen.
Wählen Sie, ob Rohheader angezeigt werden sollen
Aktivieren Sie „Rohheader anzeigen“, wenn Sie die ursprünglichen Headerzeilen zum Debuggen möchten (ideal für CDNs, Reverse-Proxies und Framework-Standards).
Überprüfen Sie die Ergebnisse und priorisieren Sie Korrekturen
Konzentrieren Sie sich zunächst auf Transportsicherheit (HSTS), Anti-XSS (CSP), Clickjacking-Schutz (Frame-Schutz), Cookie-Flags und Cross-Origin-Isolation (COOP/COEP/CORP), wo zutreffend.
Exportieren Sie einen Bericht zur Nachverfolgung
Laden Sie JSON/PDF herunter, um es Tickets anzuhängen, Änderungen über die Zeit zu vergleichen oder Prüfungen in die CI für Regressionen aufzunehmen.
Technische Spezifikationen
Was dieses Tool prüft
Der Checker konzentriert sich auf moderne, hochwirksame Antwortheader und Cookie-Attribute, die für browsererzwungene Sicherheitskontrollen verwendet werden.
| Bereich | Geprüfte Signale | Warum es wichtig ist |
|---|---|---|
| Transportsicherheit | Strict-Transport-Security (HSTS) | Erzwingt HTTPS und hilft, SSL-Stripping bei nachfolgenden Besuchen zu verhindern. |
| XSS-Abschwächung | Content-Security-Policy (CSP) + häufige Fallstricke | Beschränkt Script-/Style-Quellen und reduziert XSS-Auswirkungen bei korrekter Konfiguration. |
| Clickjacking | X-Frame-Options und/oder CSP frame-ancestors | Verhindert, dass Ihre Seiten von anderen Ursprüngen eingebettet werden. |
| MIME-Sniffing | X-Content-Type-Options: nosniff | Verhindert, dass Browser Inhaltsarten auf riskante Weise erraten. |
| Referrer-Leakage | Referrer-Policy | Steuert, wie viele Referrer-Informationen an andere Seiten gesendet werden. |
| Berechtigungskontrolle | Permissions-Policy | Beschränkt leistungsstarke Funktionen (Kamera, Mikrofon, Geolokalisierung usw.) auf Browser-Ebene. |
| Cross-Origin-Isolation | COOP / COEP / CORP (und verwandte) | Erforderlich für erweiterte Sicherheitsisolierung und einige Hochleistungs-APIs. |
| Cookies | Set-Cookie-Flags: Secure, HttpOnly, SameSite | Reduziert das Risiko von Sitzungsdiebstahl und mindert CSRF bei korrekter Konfiguration. |
| Risikobehaftet/veraltet | X-XSS-Protection, Server, X-Powered-By (wenn vorhanden) | Veraltete Kontrollen oder Informationslecks, die Angreifern helfen können. |
Anfrageverhalten und Limits
Die Prüfung läuft serverseitig und kann Weiterleitungen folgen, um echtes Navigationsverhalten abzubilden.
| Einstellung | Verhalten | Standard |
|---|---|---|
| Weiterleitungen folgen | Folgt bis zu einer begrenzten Anzahl von Weiterleitungen | Aktiviert |
| Max. Weiterleitungen | Maximale Weiterleitungen, wenn das Folgen aktiviert ist | 10 |
| Timeout | Anfrage-Timeout | 15000 ms |
| User-Agent | Anfrage-Identifikations-Header | Encode64Bot/1.0 (+[https://encode64.com](https://encode64.com)) |
| Private Netzwerke | Blockiert Ziele in privaten Netzwerken | Nicht erlaubt |
Ergebnisse richtig interpretieren
Ein „bestandener“ Header-Scan ist nicht dasselbe wie „sicher“. Header sind eine Schutzschicht. Das Ziel ist es, die Angriffsfläche für häufige Problemklassen zu verringern und sicherere Browser-Standardeinstellungen durchzusetzen.
Befehlszeile
Verwenden Sie curl, um nachzuvollziehen, was der Checker macht, und um Header während des Debuggens oder in der CI schnell zu validieren.
macOS / Linux
Antwort-Header abrufen
curl -I [https://example.com](https://example.com)Zeigt die von dem Endpunkt zurückgegebenen Header der obersten Ebene.
Weiterleitungen folgen und Header anzeigen
curl -IL [https://example.com](https://example.com)Nützlich, um die Header des endgültigen Ziels nach Weiterleitungen zu bestätigen.
Set-Cookie-Zeilen überprüfen
curl -sI [https://example.com](https://example.com) | grep -i '^set-cookie:'Hilft, Secure/HttpOnly/SameSite-Attribute zu überprüfen.
Windows (PowerShell)
Antwort-Header abrufen
(Invoke-WebRequest -Uri [https://example.com](https://example.com) -Method Head).HeadersGibt die zurückgegebenen Header in PowerShell aus.
Anwendungsfälle
Baseline zur Sicherheitshärtung für eine Web-App
Eine minimale Header-Baseline etablieren und fehlende Header nach Bereitstellungen, Proxy-/CDN-Änderungen oder Framework-Upgrades erkennen.
- Überprüfen, ob HSTS auf HTTPS in der Produktion vorhanden ist
- Sicherstellen, dass Clickjacking-Schutz für authentifizierte Seiten aktiviert ist
Überprüfung der Cookie- und Sitzungssicherheit
Validieren, dass Sitzungs-Cookies mit Secure/HttpOnly/SameSite gesendet werden, und häufige Fehlkonfigurationen erkennen.
- SameSite=None ohne Secure erkennen
- Bestätigen, dass HttpOnly für Sitzungstoken gesetzt ist
CSP-Qualität und Reduzierung des XSS-Risikos
Identifizieren Sie risikoreiche CSP-Muster und priorisieren Sie Korrekturen, die die XSS-Auswirkung wesentlich reduzieren.
- Entfernen Sie unsafe-inline und setzen Sie eine Nonce/Hash-Strategie um
- Fügen Sie frame-ancestors und base-uri für stärkere Standardeinstellungen hinzu
CDN / Reverse-Proxy-Regressionsprüfungen
Erkennen Sie, wenn ein CDN, Load Balancer oder Proxy Header entfernt oder dupliziert.
- Überprüfen Sie, ob Sicherheits-Header Änderungen an Cloudflare/Varnish/Nginx überstehen
- Sicherstellen, dass Weiterleitungen HSTS am endgültigen Ziel nicht entfernen
❓ Frequently Asked Questions
❓Warum sind Sicherheits-Header wichtig?
❓Sollte ich „Follow Redirects“ aktivieren?
❓Ist CSP für jede Website erforderlich?
❓Warum wird X-XSS-Protection als veraltet oder riskant markiert?
❓Was ist ein häufiger HSTS-Fehler?
HTTPS zu aktivieren, aber zu vergessen, HTTPS konsistent bereitzustellen (oder es auf dem kanonischen Host zu übersehen). Ein weiterer häufiger Fehler ist das Hinzufügen von Preload-Direktiven, ohne die Preload-Anforderungen vollständig zu erfüllen.❓Können Header allein meine Anwendung sichern?
Pro Tips
Prüfen Sie sowohl die Landing-HTML als auch Ihre API-Endpunkte. Sie haben oft unterschiedliche Middleware und können sich in der Header-Abdeckung stillschweigend unterscheiden.
Führen Sie eine Weiterleitungskettenprüfung durch: Bestätigen Sie, dass das endgültige Ziel die stärksten Header setzt (insbesondere HSTS und CSP).
Betrachten Sie Cookies als Teil Ihres Sicherheitsperimeters: Secure + HttpOnly + angemessenes SameSite sollte Ihre Standardeinstellung für Sitzungscookies sein.
Für CSP priorisieren Sie das Entfernen von unsafe-inline/unsafe-eval und die Einführung von Nonces oder Hashes. Dies bringt in der Praxis meist den größten Sicherheitsgewinn.
Vermeiden Sie das Preisgeben von Serverdetails. Entfernen oder minimieren Sie Server-/X-Powered-By-Header, wo möglich, um Fingerprinting zu reduzieren.
Fügen Sie einen Regressionstest in CI ein, der Deployments stoppt, wenn kritische Header verschwinden (Proxy-/CDN-Änderungen verursachen dies häufiger als erwartet).
Additional Resources
Other Tools
- CSS-Verschönerer
- HTML-Verschönerer
- JavaScript-Verschönerer
- PHP-Verschönerer
- Farbauswahl
- Sprite-Extraktor
- Base32-Binärcodierer
- Base32-Decoder
- Base32-Codierer
- Base58-Binärcodierer
- Base58-Decoder
- Base58-Codierer
- Base62-Binärcodierer
- Base62-Decoder
- Base62-Codierer
- Base64-Binärcodierer
- Base64-Decoder
- Base64-Encoder
- Hex-Binärcodierer
- Hex-Decoder
- Hex-Codierer
- Csharp-Formatierer
- CSV-Formatierer
- Dockerfile Formatter
- Elm-Formatierer
- ENV-Formatierer
- Go-Formatierer
- GraphQL-Formatierer
- HCL-Formatierer
- INI-Formatierer
- JSON-Formatierer
- LaTeX-Formatierer
- Markdown-Formatierer
- Objective-C-Formatierer
- Php Formatter
- Proto-Formatierer
- Python-Formatierer
- Ruby-Formatierer
- Rust-Formatierer
- Scala-Formatierer
- Shell-Skript-Formatierer
- SQL-Formatierer
- SVG-Formatierer
- Swift-Formatierer
- TOML-Formatierer
- Typescript Formatter
- XML-Formatierer
- YAML-Formatierer
- Yarn-Formatierer
- CSS-Minifizierer
- Html Minifier
- Javascript Minifier
- JSON-Minifizierer
- XML-Minifizierer
- Cache Headers Analyzer
- Cors Checker
- Csp Analyzer
- Dns Records Lookup
- HTTP-Header-Betrachter
- Http Status Checker
- Open Graph Meta Checker
- Redirect Chain Viewer
- Robots Txt Tester
- Security Txt Checker
- Sitemap Url Inspector
- Tls Certificate Checker
- PDF zu Text
- Regex-Tester
- SERP-Rang-Prüfer
- Whois-Abfrage