Security Header Scanner:
Prüfe deine Webseite auf wichtige Schutzmechanismen
Entdecke mit meinem Security Header Scanner, wie gut deine Webseite gegen gängige Online-Bedrohungen geschützt ist.
HTTP Security Header sind entscheidende, aber oft übersehene Konfigurationen, die dem Browser deiner Besucher Anweisungen geben, um Angriffe wie Cross-Site-Scripting (XSS) oder Clickjacking abzuwehren.
Dieses Tool analysiert schnell und unkompliziert die HTTP(S)-Antwort deiner Webseite und zeigt dir, welche wichtigen Security Header du bereits nutzt, welche vielleicht noch fehlen und wo du noch Optimierungsbedarf hast.
Verbessere die Sicherheit deiner Webseite und das Vertrauen deiner Besucher – starte jetzt deinen kostenlosen Scan!
Security Header Scanner
Ergebnisse erscheinen hier...
Anleitung & Infos
Warum du deine Security Header kennen solltest
HTTP Security Header sind wie unsichtbare Schutzschilde für deine Webseite. Sie geben deinem Browser klare Anweisungen, wie er sich verhalten soll, um Angriffe abzuwehren und deine Daten sowie die deiner Besucher zu schützen. Mit diesem Tool kannst du schnell überprüfen, welche dieser wichtigen Header auf deiner Webseite aktiv sind und wo es möglicherweise noch Verbesserungspotenzial gibt.
Schutz vor Angriffen
Security Header sind deine erste Verteidigungslinie gegen gängige Web-Attacken wie Cross-Site-Scripting (XSS), Clickjacking und das Einschleusen von bösartigem Code. Sie helfen, Sicherheitslücken zu schließen, bevor sie ausgenutzt werden können.
Vertrauen & Reputation
Eine sichtbar sichere Webseite (erkennbar an HTTPS und guten Header-Einstellungen) schafft Vertrauen bei deinen Besuchern. Das ist nicht nur gut für deine Online-Reputation, sondern kann sich auch positiv auf Suchmaschinen-Rankings auswirken.
Einfache Optimierung
Viele dieser wichtigen Header sind mit wenigen Anpassungen an deiner Serverkonfiguration oder über WordPress-Plugins schnell implementiert. Mein Tool zeigt dir, welche Header fehlen oder verbessert werden können. Für die Umsetzung, insbesondere in der .htaccess-Datei, kann dir mein WordPress .htaccess Generator eine große Hilfe sein.
Kontrolle & Datenschutz
Mit Headern wie der Content Security Policy oder Permissions Policy bestimmst du präzise, welche Inhalte von welchen Quellen geladen werden dürfen und auf welche Browser-Features (z.B. Kamera, Mikrofon) deine Seite zugreifen kann. Das erhöht die Kontrolle und den Datenschutz für deine Besucher.
So einfach nutzt du meinen Security Header Scanner
Du möchtest die HTTP Security Header deiner Webseite überprüfen?
Mit meinem Tool ist das in wenigen Schritten erledigt. So geht’s:
- Webseite-URL eingeben: Trage in das Eingabefeld (
Webseite-URL eingeben:) die vollständige URL der Webseite ein, die du mit dem Security Header Scanner überprüfen möchtest. Achte darauf, dass die URL korrekt ist (z.B.deinewebseite.deoderwww.deinewebseite.de). Das Tool versucht automatisch,https://hinzuzufügen, falls es fehlt, da Security Header primär im Kontext von HTTPS relevant sind. - Scan starten: Klicke auf den Button „Scannen“. Mein Security Header Scanner nimmt nun Kontakt mit dem Server deiner angegebenen Webseite auf und fragt die gesetzten HTTP Security Header ab. Dieser Vorgang dauert nur wenige Augenblicke.
- Ergebnisse analysieren: Sobald der Scan abgeschlossen ist, siehst du direkt unterhalb des Eingabebereichs die Ergebnisse. Diese beinhalten:
- Eine Gesamtnote (z.B. A+, B, C), die dir eine schnelle Einschätzung des Sicherheitsniveaus deiner Header-Konfiguration gibt.
- Eine detaillierte Header-Analyse in Tabellenform. Hier listet dir der Security Header Scanner die geprüften Header einzeln auf, zeigt den von deiner Webseite gesendeten Wert an und bewertet, ob dieser optimal konfiguriert ist, verbessert werden kann oder ob ein wichtiger Header fehlt.
- Zusätzliche Details und Empfehlungen zu jedem Header, damit du verstehst, warum ein bestimmter Header wichtig ist und wie du ihn optimal einsetzen kannst. (Diese detaillierten Erklärungen findest du auch weiter unten auf dieser Seite im Abschnitt „Dein Report im Detail“).
- Eine Auflistung der empfangenen Roh-Header, falls du tiefer in die technischen Details eintauchen möchtest.
- Optimierungspotenzial erkennen: Nutze die Ergebnisse des Security Header Scanners, um zu identifizieren, welche HTTP Security Header du verbessern oder neu implementieren solltest. Die Hinweise in der Analyse und die detaillierten Erklärungen helfen dir dabei, die nächsten Schritte für eine sicherere Webseite zu planen.
Dein Report im Detail: Was die Header bedeuten
Die Ergebnisse des Scans oben geben dir eine detaillierte Analyse deiner aktuellen HTTP Security Header Konfiguration.
Jeder Header spielt eine spezifische Rolle beim Schutz deiner Webseite. Hier erkläre ich dir, was hinter den wichtigsten geprüften Headern steckt und worauf du für maximalen Schutz achten solltest.
Strict-Transport-Security (HSTS)
Was macht’s? Der HSTS-Header zwingt Browser dazu, deine Seite ausschließlich über eine sichere HTTPS-Verbindung aufzurufen, nachdem sie einmal erfolgreich über HTTPS besucht wurde. Das ist superwichtig, um Man-in-the-Middle-Angriffe zu verhindern, bei denen Angreifer versuchen, die Verbindung heimlich auf ungesichertes HTTP umzuleiten.
Meine Empfehlung für dich (Optimal konfiguriert): Setze die max-age (Gültigkeitsdauer) auf mindestens 6 Monate (15552000 Sekunden), besser sind 1 bis 2 Jahre (z.B. 31536000 Sekunden). Die Direktiven includeSubDomains (schützt auch alle deine Subdomains) und preload (ermöglicht die Aufnahme in die HSTS-Preload-Liste der Browser für noch höheren, quasi permanenten Schutz) sollten ebenfalls gesetzt sein, wenn du alle Voraussetzungen dafür erfüllst.
Weiterführende Infos: HSTS einfach erklärt (Mozilla Developer Network)
Bewertung im Scan:
Gut konfiguriert: Header ist vorhanden, max-age ist ausreichend lang.
Nicht optimal konfiguriert: Header ist vorhanden, aber max-age ist zu kurz oder wichtige Direktiven fehlen.
Wichtiger Header fehlt!: Der HSTS-Header ist nicht vorhanden. Dies ist ein kritisches Sicherheitsmerkmal für HTTPS-Seiten.
Content-Security-Policy (CSP)
Was macht’s? Die CSP ist einer der mächtigsten Header zur Abwehr von Cross-Site-Scripting (XSS) und anderen Code-Injection-Angriffen. Sie erlaubt es dir, genau zu definieren, von welchen Quellen (Domains) dein Browser Inhalte wie Skripte, Stylesheets, Bilder etc. laden darf.
Meine Empfehlung für dich (Optimal konfiguriert): Eine gut konfigurierte CSP ist Gold wert. Selbst eine einfache, restriktive Policy wie default-src 'self' (erlaubt Inhalte nur von der eigenen Domain) ist ein großer Schritt. Komplexere Webseiten benötigen oft spezifischere Direktiven. Das Vorhandensein einer CSP ist hier der erste wichtige Punkt.
Eine gute Ressource, um die Details und Direktiven der CSP zu verstehen, ist content-security-policy.com (Englisch).
Bewertung im Scan:
Gut konfiguriert: Eine CSP ist vorhanden. (Eine tiefergehende Analyse der Policy-Stärke führt dieses Tool nicht durch, aber das Vorhandensein ist entscheidend).
Wichtiger Header fehlt!: Keine CSP vorhanden. Dies stellt ein signifikantes Risiko für XSS-Angriffe dar.
X-Content-Type-Options
Was macht’s? Dieser Header verhindert, dass Browser versuchen, den Content-Typ einer Ressource zu „erraten“ (MIME-Sniffing), wenn dieser vom Server nicht korrekt deklariert wurde. MIME-Sniffing kann dazu missbraucht werden, eigentlich harmlose Dateitypen als ausführbaren Code zu interpretieren.
Meine Empfehlung für dich (Optimal konfiguriert): Der Wert sollte immer nosniff sein.
Weiterführende Infos: X-Content-Type-Options (Mozilla Developer Network)
Bewertung im Scan:
Gut konfiguriert: Header ist vorhanden und auf nosniff gesetzt.
Falscher Wert / Wichtiger Header fehlt!: Der Header fehlt oder hat einen anderen Wert als nosniff.
X-Frame-Options
Was macht’s? Schützt deine Besucher vor Clickjacking-Angriffen. Dabei wird deine Webseite unsichtbar in einem iFrame auf einer bösartigen Seite eingebettet, um Nutzer dazu zu bringen, ungewollt Aktionen auf deiner Seite auszuführen.
Meine Empfehlung für dich (Optimal konfiguriert): Setze den Wert auf DENY (Seite darf nirgendwo in einem Frame angezeigt werden) oder SAMEORIGIN (Seite darf nur in Frames auf der eigenen Domain angezeigt werden).
Weiterführende Infos: X-Frame-Options (Mozilla Developer Network)
Bewertung im Scan:
Gut konfiguriert: Header ist vorhanden und auf DENY oder SAMEORIGIN gesetzt.
Falscher Wert / Wichtiger Header fehlt!: Der Header fehlt oder hat einen anderen Wert.
Referrer-Policy
Was macht’s? Kontrolliert, welche Referrer-Informationen (also die URL der vorherigen Seite) beim Navigieren von deiner Seite zu einer anderen gesendet werden. Dies kann aus Datenschutzgründen wichtig sein.
Meine Empfehlung für dich (Optimal konfiguriert): Empfehlenswerte Werte sind strict-origin-when-cross-origin (sendet nur die Domain bei domainübergreifenden Anfragen), no-referrer (sendet keine Referrer-Info) oder same-origin (sendet Referrer nur bei Anfragen innerhalb der eigenen Domain). Das Vorhandensein und ein vernünftiger Wert sind positiv.
Weiterführende Infos: Referrer-Policy (Mozilla Developer Network)
Bewertung im Scan:
Gut konfiguriert: Header ist vorhanden und hat einen der empfohlenen sicheren Werte.
Nicht optimal konfiguriert: Header ist vorhanden, aber der Wert ist weniger restriktiv (z.B. unsafe-url).
Optionaler Header fehlt: Der Header ist nicht vorhanden. Er ist nicht kritisch, aber empfehlenswert.
Permissions-Policy (oder Feature-Policy)
Was macht’s? Dieser Header (Feature-Policy ist der ältere Name) erlaubt es dir, den Zugriff auf bestimmte Browser-Funktionen und APIs (wie Kamera, Mikrofon, Geolokalisierung, Vollbild etc.) für deine Seite und eingebettete Inhalte zu steuern. Du kannst Features komplett deaktivieren oder nur für bestimmte Ursprünge erlauben.
Meine Empfehlung für dich (Optimal konfiguriert): Das Vorhandensein einer Permissions-Policy, die unnötige Features deaktiviert (z.B. microphone=(), camera=(), geolocation=()), ist ein guter Schritt für mehr Sicherheit und Datenschutz.
Weiterführende Infos: Permissions-Policy (Mozilla Developer Network)
Bewertung im Scan:
Gut konfiguriert: Eine Permissions-Policy ist vorhanden. (Eine Detailanalyse der Policy findet nicht statt).
Optionaler Header fehlt: Der Header ist nicht vorhanden. Er ist nicht kritisch, aber sehr empfehlenswert, um das Prinzip der geringsten Rechte umzusetzen.
X-XSS-Protection
Was macht’s? Dieser Header war ein Versuch älterer Browser, einen eingebauten Schutz gegen einige Arten von XSS-Angriffen zu bieten. Er ist jedoch mittlerweile veraltet und kann in modernen Browsern sogar neue Schwachstellen erzeugen oder die Wirkung einer gut konfigurierten Content-Security-Policy (CSP) untergraben.
Meine Empfehlung für dich (Optimal konfiguriert): Wenn du eine CSP verwendest (was dringend empfohlen wird!), sollte dieser Header entweder ganz fehlen oder auf 0 gesetzt sein, um ihn explizit zu deaktivieren. Moderne Browser ignorieren ihn meist ohnehin.
Bewertung im Scan:
Gut konfiguriert: Header ist auf 0 gesetzt oder fehlt (was auch als gut gewertet wird, da veraltet).
Nicht optimal konfiguriert: Header ist vorhanden und auf einen anderen Wert gesetzt (z.B. 1 oder 1; mode=block). Dies ist nicht mehr empfohlen.
Dieser Security Header Scanner dient deiner ersten Orientierung und als Hilfsmittel zur Überprüfung gängiger HTTP Security Header.
Die Ergebnisse und Bewertungen basieren auf allgemeinen Best Practices zum Zeitpunkt der Tool-Erstellung (Mai 2025).
Für eine umfassende, individuelle Sicherheitsbewertung deiner Webseite und Infrastruktur ziehe bitte bei Bedarf einen Sicherheitsexperten hinzu.
Ich übernehme keine Haftung für die Vollständigkeit oder Korrektheit der Ergebnisse oder für Maßnahmen, die auf Basis dieses Scans abgeleitet werden. Teste alle Konfigurationsänderungen immer zuerst gründlich in einer Staging-Umgebung, bevor du sie auf deiner Live-Webseite anwendest!