HTTP-Security-Headers-Checker
Füge rohe Response-Header oder curl -I-Ausgabe ein, um gängige Security-Header lokal zu prüfen, darunter CSP, HSTS und COOP.
Füge rohe Response-Header oder curl -I-Ausgabe ein. Wenn Weiterleitungen enthalten sind, wird der letzte Response-Block bewertet.
Rohe HTTP-Response-Header oder curl -I-Ausgabe einfügen
Was ist ein HTTP-Security-Header-Checker?
Der HTTP-Security-Header-Checker analysiert Antwort-Header gegen OWASP-Sicherheits-Best-Practices und bewertet sie auf einer Skala von 0–100. Er bewertet Content-Security-Policy (CSP), Strict-Transport-Security (HSTS), X-Content-Type-Options, X-Frame-Options, Referrer-Policy, Permissions-Policy und Cross-Origin-Header einschließlich COOP, COEP und CORP. Anders als Online-Scanner, die eine öffentliche URL abrufen, arbeitet dieses Werkzeug im Einfüge-Modus — du kopierst rohe Header aus curl -I-Ausgaben, Browser-DevTools oder deinen Reverse-Proxy-Logs und fügst sie direkt in den Checker ein. Dieses Design macht es ideal für localhost-Entwicklungsserver, Staging-Umgebungen hinter VPNs, interne APIs und jeden Endpunkt, der nicht öffentlich erreichbar ist. Es werden keine URLs abgerufen, keine Endpunkte offengelegt und keine Header-Daten verlassen deinen Browser.
So nutzt du den HTTP-Security-Header-Checker
Führe curl -I auf deiner Ziel-URL aus oder kopiere Antwort-Header aus dem Netzwerk-Tab deiner Browser-DevTools. Füge die rohen Header in das Eingabefeld ein — das Werkzeug akzeptiert die vollständige curl-Ausgabe einschließlich der Statuszeile. Klicke auf „Header analysieren“, um den Sicherheitsbericht zu erzeugen. Jeder Header wird als Bestanden, Warnung oder Fehlgeschlagen mit einer Erklärung bewertet. Wenn dein Einfügen mehrere Antwortblöcke enthält (z. B. aus einer Redirect-Kette), bewertet der Checker die letzte Antwort. Überprüfe fehlgeschlagene Prüfungen, aktualisiere deine Serverkonfiguration und teste erneut, indem du die neuen Header einfügst.
Warum HTTP-Security-Header wichtig sind
Sicherheits-Header sind die erste Verteidigungslinie gegen XSS, Clickjacking, MIME-Sniffing und Dateninjektionsangriffe. OWASP listet fehlende Sicherheits-Header als häufige Fehlkonfiguration in Webanwendungen auf. Eine fehlende Content-Security-Policy lässt eingeschleuste Skripte ungehindert ausführen. Ohne HSTS können Nutzer über Man-in-the-Middle-Angriffe auf HTTP herabgestuft werden. Fehlende X-Frame-Options ermöglichen Clickjacking. Sicherheitsaudits, Penetrationstests und Compliance-Rahmen (PCI DSS, SOC 2) prüfen alle auf diese Header. Header-Prüfungen in deine CI/CD-Pipeline zu integrieren — Header aus einem Test-Deployment exportieren, hier einfügen, Score verifizieren — fängt Regressionen ab, bevor sie Produktion erreichen.
Häufig gestellte Fragen
Kann ich localhost- oder Staging-Header einfügen?
Ja. Dieses Tool ist für den Paste-Modus konzipiert, sodass du Header von localhost, internem Staging oder jeder privaten Umgebung prüfen kannst, ohne die URL preiszugeben.
Warum die URL nicht direkt abrufen?
Das Abrufen einer URL würde bei vielen privaten Umgebungen scheitern und könnte interne Endpunkte offenlegen. Der Paste-Modus hält den Workflow privat und funktioniert überall dort, wo curl oder Browser-DevTools Header kopieren können.
Garantiert eine hohe Punktzahl Sicherheit?
Nein. Der Checker hebt gängige Response-Header und gängige Fehlkonfigurationen hervor, ist aber kein vollständiges Anwendungssicherheits-Audit.
Dieses Tool in einem größeren Ablauf nutzen
Diese Sammlungen bündeln die Folge-Tools und Guides, die oft zum selben Job gehören.
Gleiche Tags durchsuchen
Springe zu anderen Tools mit demselben Ablauf, Format oder Anwendungsfall.