Security.txt-Prüfer
🔍 HTTP-Response-Header für jede öffentliche URL inspizieren und sofortige Einblicke in Sicherheit, Leistung und SEO erhalten. CSP, HSTS, Cookies, CORS, Caching und Weiterleitungsverhalten auf einen Blick – kein Login, kein API-Key, keine Installation.
Was dieses HTTP-Header-Tool kann
- Kategorisiert Header in Sicherheit, Leistung, SEO, veraltet und andere Gruppen für schnelleres Scannen
- Berechnet einfache Scores für Gesamt-, Sicherheits-, Leistungs- und SEO-Header, um auf einen Blick zu zeigen, wo Sie stehen
- Hebt Sicherheitsheader wie CSP, HSTS, Referrer-Policy, X-Frame-Options, COOP/COEP/CORP und Origin-Agent-Cluster hervor
- Analysiert Set-Cookie-Flags, um fehlende Secure-, HttpOnly- oder SameSite-Attribute zu erkennen
- Erkennt veraltete oder riskante Header wie X-XSS-Protection, X-Powered-By und Server-Banner, die Implementierungsdetails preisgeben
- Hilft bei der Optimierung von Performance-Headern wie Cache-Control, Content-Encoding, ETag, Last-Modified und Server-Timing
- Zeigt SEO-relevante Header wie Link (kanonisch/alternativ) und X-Robots-Tag sowie Content-Language, wenn vorhanden
- Kein Konto, kein API-Key – einfach eine öffentliche URL einfügen, Header inspizieren und Ihre Konfiguration iterieren
🛠️ So verwenden Sie den HTTP-Header-Viewer for security-txt-checker
1. URL eingeben
🔗 Fügen Sie eine gültige HTTP- oder HTTPS-URL in das Eingabefeld ein. Öffentliche Endpunkte oder öffentlich zugängliche APIs funktionieren am besten.
2. Header abrufen
🌐 Das Backend ruft die URL ab und sammelt die Antwort-Header, wobei möglichst Weiterleitungen befolgt werden. Nur Header und grundlegende Metadaten werden geprüft – nicht der vollständige HTML-Body.
3. Kategorien & Bewertungen prüfen
🧠 Header werden in Sicherheit, Leistung, SEO, Cookies, veraltet und andere Gruppen eingeteilt. Das Tool leitet Bewertungen, Probleme, Warnungen und Empfehlungen aus Ihrer Header-Konfiguration ab.
4. Korrigieren und erneut testen
🔁 Passen Sie Ihre Server-, CDN- oder Reverse-Proxy-Konfiguration an und führen Sie die Prüfung erneut durch, bis Bewertungen und Warnungen Ihren Zielen entsprechen. Nutzen Sie es als schnelles Feedback, wann immer Sie Infrastruktur anpassen.
Technische Details
Anfrage- & Antwortverarbeitung
Das Tool konzentriert sich auf Antwort-Header und grundlegende Verbindungsmetadaten, nicht auf vollständige Seiteninhalte.
| Aspekt | Verhalten | Hinweise |
|---|---|---|
| HTTP-Methode | HEAD oder GET (implementierungsabhängig) | Nur Header werden geprüft; Inhaltskörper werden ignoriert, es sei denn, ein GET-Fallback ist erforderlich. |
| Weiterleitungen | Weiterleitungskette wird aufgezeichnet, wenn verfügbar | Nützlich zum Debuggen von 301/302-Ketten, kanonischen Zielen und falsch konfigurierten Sprüngen. |
| HTTP-Version | Wird erfasst, wenn bereitgestellt | Hilft bei der Identifizierung von HTTP/1.1- vs. HTTP/2/3-Setups und potenziellen Upgrade-Möglichkeiten. |
| Server-Banner | Aus dem Server-Header gelesen | Wird verwendet, um vor potenziellem Informationsleck (Framework, Version) zu warnen. |
| Fehlerbehandlung | Fehlerfeld separat angezeigt | Wenn der Abruf fehlschlägt, erhalten Sie weiterhin einen lesbaren Fehlerstatus anstatt eines Absturzes. |
Header-Klassifizierung & Analyse
Header werden normalisiert und dann in typisierte Gruppen mit spezifischen Prüfungen und Hinweisen analysiert.
| Kategorie | Typische Header | Prüfungen & Einblicke |
|---|---|---|
| Sicherheit | Content-Security-Policy, Strict-Transport-Security, X-Frame-Options, Referrer-Policy, Permissions-Policy, COOP/COEP/CORP, Origin-Agent-Cluster | Validiert das Vorhandensein, markiert schwache oder fehlende Direktiven, erkennt unsichere CSP-Muster und Entwicklungs-Ursprünge. |
| Leistung | Cache-Control, Content-Encoding, ETag, Last-Modified, Accept-Ranges, Link (preload/prefetch), Server-Timing | Prüft auf Caching-Hinweise, Komprimierung, Byte-Range-Unterstützung und leistungsbezogene Link-Header. |
| SEO | Link (canonical/alternate), X-Robots-Tag, Content-Language | Erkennt kanonische/alternative Hinweise und Robot-Direktiven auf Header-Ebene sowie Sprach-Metadaten, sofern vorhanden. |
| Cookies | Set-Cookie | Untersucht auf Secure-, HttpOnly-, SameSite-Attribute und warnt, wenn Flags fehlen oder schwach erscheinen. |
| Veraltet | X-XSS-Protection, Public-Key-Pins, veraltete CSP-Varianten | Markiert Header, die entfernt oder durch moderne Alternativen ersetzt werden sollten. |
Bewertungsmodell
Die Bewertungen sind heuristisch, keine vollständige Sicherheitsprüfung, helfen aber bei der Priorisierung von Arbeiten und dem Vergleich von Umgebungen.
| Punktzahl | Was gemessen wird | Wie sie berechnet wird |
|---|---|---|
| Gesamtpunktzahl | Allgemeine Header-Hygiene | Verhältnis über alle gewichteten Header – hauptsächlich präsenzbasiert mit leichter Gewichtung. |
| Sicherheitspunktzahl | Sicherheitsbezogene Härtung | Gewichtet CSP, HSTS, Framing-Kontrolle, Referrer-Policy, Permissions-Policy, COOP/COEP/CORP und Origin-Agent-Cluster. |
| Leistungspunktzahl | Caching & Übertragungseffizienz | Gewichtet Cache-Control, Content-Encoding, ETag, Last-Modified, Accept-Ranges, Server-Timing und leistungsbezogene Link-Nutzung. |
| SEO-Punktzahl | Header-Ebene SEO-Signale | Gewichtet X-Robots-Tag, kanonische/alternative Link-Header und Content-Language, sofern vorhanden. |
CLI-Alternativen zur Header-Inspektion
Bevorzugen Sie das Terminal oder die Integration von Header-Prüfungen in CI/CD? Nutzen Sie diese Befehle als lokale Begleiter zu diesem Tool:
Linux/macOS
Antwort-Header mit curl anzeigen
curl -I https://example.comSendet eine HEAD-Anfrage und gibt die Antwort-Header für eine schnelle Plausibilitätsprüfung aus.
Ausführliche Ausgabe mit Headern und TLS-Aushandlung
curl -v https://example.comNützlich beim Debuggen von Weiterleitungen, TLS-Konfiguration und Verbindungsdetails.
Windows (PowerShell)
Header abrufen und mit Invoke-WebRequest untersuchen
(Invoke-WebRequest -Uri https://example.com).HeadersZeigt Header als PowerShell-Objekt an, bereit für zusätzliche Filterung oder Skripterstellung.
Praktische Anwendungen
Sicherheitsheader-Überprüfung
- Prüfen Sie auf fehlende CSP-, HSTS-, Referrer-Policy- oder Permissions-Policy-Header bei wichtigen Endpunkten.
- Unsichere CSP-Direktiven wie 'unsafe-inline' ohne Nonces oder Hashes erkennen.
- Cookies identifizieren, denen Secure- oder SameSite-Attribute fehlen, und Korrekturen für die Sitzungshärtung planen.
Leistungs- & Caching-Diagnose
- Cache-Control-, ETag- und Content-Encoding-Konfiguration über statische und dynamische Routen hinweg prüfen.
- Vorhandensein von Leistungshinweisen wie Preload- oder Preconnect-Link-Headern von Ihrem CDN verifizieren.
- Leistungsbezogene Header zwischen Staging-, Preview- und Produktionsumgebungen vergleichen.
SEO- & Weiterleitungskettenanalyse
- 301/302-Weiterleitungsketten prüfen und bestätigen, dass die finale Ziel-URL kanonisch und sicher ist.
- Kanonische und alternative Link-Header auf HTML-Seiten oder lokalisierten Versionen überprüfen.
- X-Robots-Tag-Direktiven für Indexierung, Snippet-Verhalten und Medienbehandlung validieren.
❓ Frequently Asked Questions
❓Was sind HTTP-Antwortheader und warum sind sie wichtig?
HTTP-Antwortheader sind Schlüssel-Wert-Paare, die vom Server vor dem Body gesendet werden. Sie steuern Caching, Sicherheitsrichtlinien, Weiterleitungen, CORS, Cookies und wie Browser und Crawler Ihre Seite interpretieren. Sie korrekt zu setzen ist entscheidend für Sicherheit, Leistung und SEO.🔒Werden die getesteten URLs irgendwo gespeichert?
🧪Kann ich damit API-Antworten untersuchen?
API-Endpunkt öffentlich vom anfragenden Server erreichbar ist. Dies ist besonders nützlich, um CORS-Header, Ratenlimit-Hinweise, Cache-Verhalten und Content-Types bei JSON- oder XML-APIs zu prüfen.🕵️♂️Funktioniert es für Seiten hinter einer Authentifizierung?
📈Ist die Bewertung ein vollständiges Sicherheitsaudit?
Pro Tips
Vergleichen Sie Header zwischen Staging-, Preview- und Produktionsumgebungen, um fehlende Sicherheitshärtungen oder Caching-Regeln in einer Umgebung zu erkennen.
Behandeln Sie die Server- und X-Powered-By-Header als Informationslecks – entfernen oder minimieren Sie sie in der Produktion, wann immer möglich.
Optimieren Sie Cache-Control und Content-Encoding zuerst für statische Assets – sie bringen oft die größten Leistungsgewinne mit minimalem Risiko.
Führen Sie dieses Tool nach jeder größeren Infrastrukturänderung (CDN, Reverse-Proxy, TLS-Offloading, neuer Host) aus, um zu bestätigen, dass die Header weiterhin korrekt aussehen.
Additional Resources
Other Tools
- CSS-Verschönerer
- HTML-Verschönerer
- JavaScript-Verschönerer
- PHP-Verschönerer
- Farbauswahl
- Sprite-Extraktor
- Base32-Binärcodierer
- Base32-Decoder
- Base32-Codierer
- Base58-Binärcodierer
- Base58-Decoder
- Base58-Codierer
- Base62-Binärcodierer
- Base62-Decoder
- Base62-Codierer
- Base64-Binärcodierer
- Base64-Decoder
- Base64-Encoder
- Hex-Binärcodierer
- Hex-Decoder
- Hex-Codierer
- Csharp-Formatierer
- CSV-Formatierer
- Dockerfile Formatter
- Elm-Formatierer
- ENV-Formatierer
- Go-Formatierer
- GraphQL-Formatierer
- HCL-Formatierer
- INI-Formatierer
- JSON-Formatierer
- LaTeX-Formatierer
- Markdown-Formatierer
- Objective-C-Formatierer
- Php Formatter
- Proto-Formatierer
- Python-Formatierer
- Ruby-Formatierer
- Rust-Formatierer
- Scala-Formatierer
- Shell-Skript-Formatierer
- SQL-Formatierer
- SVG-Formatierer
- Swift-Formatierer
- TOML-Formatierer
- Typescript Formatter
- XML-Formatierer
- YAML-Formatierer
- Yarn-Formatierer
- CSS-Minifizierer
- Html Minifier
- Javascript Minifier
- JSON-Minifizierer
- XML-Minifizierer
- Cache Headers Analyzer
- Cors Checker
- Csp Analyzer
- Dns Records Lookup
- HTTP-Header-Betrachter
- Http Status Checker
- Open Graph Meta Checker
- Redirect Chain Viewer
- Robots Txt Tester
- Security Headers Checker
- Sitemap Url Inspector
- Tls Certificate Checker
- PDF zu Text
- Regex-Tester
- SERP-Rang-Prüfer
- Whois-Abfrage