# HTTP-Security-Headers-Checker

> Kostenloser Paste-Modus-HTTP-Security-Headers-Checker für localhost, Staging und private Umgebungen. Analysiere Header, ohne eine öffentliche URL abzurufen.

- **Category:** Entwickler
- **URL:** https://www.teafun.cyou/tools/http-headers-checker/
- **Privacy:** Runs entirely in your browser — no uploads, no account, no tracking.
- **Also known as:** http headers, security headers, csp, cors, response headers, check headers, website headers
- **Related tools:** [Log-Formatter](https://www.teafun.cyou/tools/log-formatter/), [JWT-Decoder](https://www.teafun.cyou/tools/jwt-decoder/), [JSON-Formatter & -Validator](https://www.teafun.cyou/tools/json-formatter/)
- **Tags:** Data, Security

## About

Füge rohe Response-Header oder curl -I-Ausgabe ein, um gängige Security-Header lokal zu prüfen, darunter CSP, HSTS und COOP.

## So nutzt du den HTTP-Security-Header-Checker

Führe `curl -sI https://your.endpoint/` aus oder kopiere aus DevTools -> Network -> Headers -> Response. Füge den vollen Block einschließlich der Statuszeile (`HTTP/2 200`) ein. Der Checker toleriert Redirects (`301`/`302`/`307`/`308`) und bewertet die letzte Antwort. Jeder Header wird gegen den OWASP-empfohlenen Wert bewertet: Pass (entspricht Empfehlung), Warn (vorhanden, aber schwach — z. B. HSTS `max-age=300` ist zu kurz, um wirksam zu sein), Fail (fehlt oder aktiv unsicher — z. B. `Access-Control-Allow-Origin: *` mit credentialed Endpunkten). Der Bericht verlinkt jedes Finding zu den relevanten MDN-Docs und dem OWASP-Cheat-Sheet. Eine häufige Falle: sowohl `X-Frame-Options: DENY` als auch `Content-Security-Policy: frame-ancestors 'none'` zu setzen ist redundant, aber nicht falsch — `frame-ancestors` gewinnt auf modernen Browsern, X-Frame-Options bleibt für Legacy. CSP `'unsafe-inline'` in `script-src` hebt die Richtlinie für XSS-Schutz auf; als Fail markiert, selbst wenn der Rest der CSP solide ist.

## Warum HTTP-Security-Header wichtig sind

Fehlende Sicherheits-Header sind der häufigste Befund in Penetrationstests, weil sie unsichtbar sind: eine Site kann das richtige HTML ausliefern und trotzdem ein Audit scheitern lassen, weil die Antwort-Header falsch sind. PCI DSS 4.0 (März 2025), SOC 2 Trust Service Criteria und ISO 27001:2022 Annex A 8.26 markieren alle fehlende CSP / HSTS / X-Frame-Options als Kontrolllücken. Die Fix-Kosten sind eine Zeile in deinem Reverse Proxy (`add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always;` in nginx, ein Block in `vercel.json` Headers, drei Zeilen in Cloudflare Workers) — aber unentdeckt, bis ein Auditor oder ein Security-Write-Up eines Konkurrenten es ans Licht bringt. CI-integrierte Header-Prüfung fängt Regressionen ab: ein Deploy, der deine CSP von `default-src 'self'` auf `default-src *` kippt, weil jemand beim Debuggen die falsche Regel kopierte. Die Header durch diesen Checker laufen zu lassen, bevor der Deploy-PR gemerged wird, fängt den Diff ab.

_SEO title: HTTP-Security-Headers-Checker – Paste-Modus | TeaFun_

## FAQ

### Kann ich localhost- oder Staging-Header einfügen?

Ja. Dieses Tool ist für den Paste-Modus konzipiert, sodass du Header von localhost, internem Staging oder jeder privaten Umgebung prüfen kannst, ohne die URL preiszugeben.

### Warum die URL nicht direkt abrufen?

Das Abrufen einer URL würde bei vielen privaten Umgebungen scheitern und könnte interne Endpunkte offenlegen. Der Paste-Modus hält den Workflow privat und funktioniert überall dort, wo curl oder Browser-DevTools Header kopieren können.

### Garantiert eine hohe Punktzahl Sicherheit?

Nein. Der Checker hebt gängige Response-Header und gängige Fehlkonfigurationen hervor, ist aber kein vollständiges Anwendungssicherheits-Audit.