HTTP-Security-Headers-Checker
Füge rohe Response-Header oder curl -I-Ausgabe ein, um gängige Security-Header lokal zu prüfen, darunter CSP, HSTS und COOP.
Füge rohe Response-Header oder curl -I-Ausgabe ein. Wenn Weiterleitungen enthalten sind, wird der letzte Response-Block bewertet.
0 Bytes
Rohe HTTP-Response-Header oder curl -I-Ausgabe einfügen
Du hast gerade HTTP-Security-Headers-Checker getestet — Probiere als Nächstes Log-Formatter →
Was ist ein HTTP-Security-Header-Checker?
HTTP-Sicherheits-Header weisen den Browser an, wie er mit Cross-Origin-Anfragen, Skriptausführung, Mixed Content und eingebetteten Kontexten umgehen soll — sie sind die günstigste Härtung, die du ausliefern kannst, weil die einzigen Kosten ein Konfigurations-Edit sind. Der Checker bewertet gegen die Empfehlungen des OWASP Secure Headers Project und das Mozilla-Observatory-Schema. Wichtige Header, die er bewertet: Content-Security-Policy (Whitelist erlaubter Skript-/Stil-/Bild-Origins; die default-src 'self'-Basislinie blockiert die meisten XSS), Strict-Transport-Security (HSTS — erzwingt HTTPS für max-age Sekunden; Werte >=31536000 mit includeSubDomains; preload sind für die HSTS Preload-Liste auf hstspreload.org berechtigt, die in Chrome / Firefox / Safari eingebacken ist), X-Content-Type-Options: nosniff (verhindert, dass Browser .txt als HTML interpretieren), X-Frame-Options: DENY / CSP frame-ancestors (Anti-Clickjacking — frame-ancestors ist das moderne CSP-Äquivalent und überschreibt X-Frame-Options), Referrer-Policy (kontrolliert, was Origin/Pfad an Dritte verraten wird), Permissions-Policy (früher Feature-Policy — Opt-out für Kamera, Mikrofon, Geolokalisierung), und das Cross-Origin Isolation-Trio COOP / COEP / CORP, das SharedArrayBuffer und hochauflösende Timer freischaltet. Anders als URL-basierte Scanner (securityheaders.com, Mozilla Observatory) akzeptiert dieses Tool eingefügte Header aus curl -I oder DevTools, sodass interne Endpunkte hinter VPN oder localhost ohne Offenlegung bewertet werden.
So nutzt du den HTTP-Security-Header-Checker
Führe curl -sI https://your.endpoint/ aus oder kopiere aus DevTools -> Network -> Headers -> Response. Füge den vollen Block einschließlich der Statuszeile (HTTP/2 200) ein. Der Checker toleriert Redirects (301/302/307/308) und bewertet die letzte Antwort. Jeder Header wird gegen den OWASP-empfohlenen Wert bewertet: Pass (entspricht Empfehlung), Warn (vorhanden, aber schwach — z. B. HSTS max-age=300 ist zu kurz, um wirksam zu sein), Fail (fehlt oder aktiv unsicher — z. B. Access-Control-Allow-Origin: * mit credentialed Endpunkten). Der Bericht verlinkt jedes Finding zu den relevanten MDN-Docs und dem OWASP-Cheat-Sheet. Eine häufige Falle: sowohl X-Frame-Options: DENY als auch Content-Security-Policy: frame-ancestors 'none' zu setzen ist redundant, aber nicht falsch — frame-ancestors gewinnt auf modernen Browsern, X-Frame-Options bleibt für Legacy. CSP 'unsafe-inline' in script-src hebt die Richtlinie für XSS-Schutz auf; als Fail markiert, selbst wenn der Rest der CSP solide ist.
Warum HTTP-Security-Header wichtig sind
Fehlende Sicherheits-Header sind der häufigste Befund in Penetrationstests, weil sie unsichtbar sind: eine Site kann das richtige HTML ausliefern und trotzdem ein Audit scheitern lassen, weil die Antwort-Header falsch sind. PCI DSS 4.0 (März 2025), SOC 2 Trust Service Criteria und ISO 27001:2022 Annex A 8.26 markieren alle fehlende CSP / HSTS / X-Frame-Options als Kontrolllücken. Die Fix-Kosten sind eine Zeile in deinem Reverse Proxy (add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always; in nginx, ein Block in vercel.json Headers, drei Zeilen in Cloudflare Workers) — aber unentdeckt, bis ein Auditor oder ein Security-Write-Up eines Konkurrenten es ans Licht bringt. CI-integrierte Header-Prüfung fängt Regressionen ab: ein Deploy, der deine CSP von default-src 'self' auf default-src * kippt, weil jemand beim Debuggen die falsche Regel kopierte. Die Header durch diesen Checker laufen zu lassen, bevor der Deploy-PR gemerged wird, fängt den Diff ab.
Häufig gestellte Fragen
Kann ich localhost- oder Staging-Header einfügen?
Ja. Dieses Tool ist für den Paste-Modus konzipiert, sodass du Header von localhost, internem Staging oder jeder privaten Umgebung prüfen kannst, ohne die URL preiszugeben.
Warum die URL nicht direkt abrufen?
Das Abrufen einer URL würde bei vielen privaten Umgebungen scheitern und könnte interne Endpunkte offenlegen. Der Paste-Modus hält den Workflow privat und funktioniert überall dort, wo curl oder Browser-DevTools Header kopieren können.
Garantiert eine hohe Punktzahl Sicherheit?
Nein. Der Checker hebt gängige Response-Header und gängige Fehlkonfigurationen hervor, ist aber kein vollständiges Anwendungssicherheits-Audit.
Dieses Tool in einem größeren Ablauf nutzen
Diese Sammlungen bündeln die Folge-Tools und Guides, die oft zum selben Job gehören.
Gleiche Tags durchsuchen
Springe zu anderen Tools mit demselben Ablauf, Format oder Anwendungsfall.