Was bedeutet die Bewertung A+ bis F?

Der Scanner bewertet die gefundenen Headers und vergibt eine Note von A+ (exzellent) bis F (kritisch). Wichtige Header wie HSTS und CSP geben mehr Punkte als optionale. Eine A+ Bewertung bedeutet optimale Sicherheitskonfiguration.

Was macht Content-Security-Policy (CSP)?

CSP definiert erlaubte Quellen für Skripte, Styles, Bilder und andere Ressourcen. Es ist einer der wichtigsten Header gegen XSS-Angriffe, da es verhindert, dass bösartiger Code aus fremden Quellen ausgeführt wird.

Warum ist X-Frame-Options wichtig?

X-Frame-Options verhindert, dass deine Website in iframes eingebettet wird (Clickjacking-Schutz). Angreifer könnten sonst deine Seite unsichtbar über ihre eigene legen und Klicks abfangen.

Ist der Security Header Scanner kostenlos?

Ja, der Security Header Scanner auf DarkWolfCave.de ist komplett kostenlos. Keine Registrierung nötig. Die eingegebene URL wird zur Analyse an unseren Server gesendet, der die HTTP-Header abruft und auswertet.

31. Dezember 2025 tools

Security Header Scanner: Website-Sicherheit prüfen

Security Header Scanner: Website-Sicherheit prüfen

HTTP Security Headers sind ein wichtiger Baustein für die Absicherung deiner Website. Mit dem Security Header Scanner kannst du jede Website scannen und prüfen, ob die wichtigsten Security Headers korrekt konfiguriert sind.

Das Tool ist komplett kostenlos - keine Registrierung nötig.

DarkWolfCave.de

Security Header Scanner

Gib eine URL ein und erhalte eine detaillierte Analyse der HTTP Security Headers mit Bewertung von A+ bis F.

Website-URL eingeben:

🔒

Security Header Scanner

Gib eine Website-URL ein und prüfe, ob die wichtigsten Security Headers korrekt gesetzt sind. Der Scanner analysiert HSTS, CSP, X-Frame-Options und weitere sicherheitsrelevante Header.

Was sind Security Headers?

HTTP Security Headers sind spezielle HTTP-Antwort-Header, die dem Browser mitteilen, wie er sich verhalten soll. Sie bieten zusätzlichen Schutz gegen verschiedene Angriffe wie XSS, Clickjacking und MITM-Attacken.

Geprüfte Headers

HSTS (Strict-Transport-Security)

Erzwingt HTTPS-Verbindungen, selbst wenn der User HTTP eingibt. Der Browser speichert diese Anweisung und leitet automatisch auf HTTPS um. Das schützt vor Downgrade-Angriffen.

Beispiel:

Strict-Transport-Security: max-age=31536000; includeSubDomains; preload

CSP (Content-Security-Policy)

Definiert erlaubte Quellen für Skripte, Styles und andere Ressourcen. Einer der wichtigsten Header gegen XSS-Angriffe.

Beispiel:

Content-Security-Policy: default-src 'self'; script-src 'self' 'unsafe-inline'

X-Frame-Options

Verhindert Einbettung in iframes (Clickjacking-Schutz). Angreifer könnten sonst deine Seite unsichtbar über ihre eigene legen.

Beispiel:

X-Frame-Options: DENY

X-Content-Type-Options

Verhindert MIME-Type-Sniffing. Der Browser interpretiert Dateien nur entsprechend ihres deklarierten Content-Types.

Beispiel:

X-Content-Type-Options: nosniff

Referrer-Policy

Kontrolliert welche Referrer-Informationen bei Links zu anderen Seiten gesendet werden.

Beispiel:

Referrer-Policy: strict-origin-when-cross-origin

Permissions-Policy

Kontrolliert Browser-Features wie Kamera, Mikrofon, Geolocation etc. Früher bekannt als Feature-Policy.

Beispiel:

Permissions-Policy: camera=(), microphone=(), geolocation=()

KI-Bild

Tipp: Starte mit HSTS und X-Content-Type-Options - die sind einfach zu implementieren und bringen sofort mehr Sicherheit. CSP ist mächtiger, aber auch komplexer in der Konfiguration.

Security Hardware & Literatur

Für erweiterte Website-Sicherheit empfehle ich Hardware-Keys für 2FA und deutschsprachige Fachliteratur:

Hardware-Keys für 2FA und deutschsprachige Security-Bücher

Security Tools & Literatur

Bild	Produkt	Preis
Produktdaten werden geladen...

Letzte Aktualisierung: - | Infos zu Affiliate Links | Bilder von der Amazon Product Advertising API

VIP Support

Du wirst hier einen groben Überblick finden.
Allerdings biete ich dir auch noch etwas mehr Support an:

Du benötigst persönlichen Support
Du möchtest von Beginn an Unterstützung bei deinem Projekt
Du möchtest ein hier vorgestelltes Plugin durch mich installieren und einrichten lassen
Du würdest gerne ein von mir erstelltes Script etwas mehr an deine Bedürfnisse anpassen

Für diese Punkte und noch einiges mehr habe ich einen limitierten VIP-Tarif eingerichtet.

VIP-Patreon Tarif Discord kontaktieren

Falls der Tarif gerade nicht verfügbar ist, kontaktiere mich auf Discord!

Bewertungssystem

Der Scanner bewertet die gefundenen Headers und vergibt eine Note:

Note	Bedeutung
A+	Exzellent - Alle wichtigen Headers korrekt konfiguriert
A	Sehr gut - Wichtige Headers vorhanden
B	Gut - Die meisten Headers gesetzt
C	Ausreichend - Grundschutz vorhanden
D	Mangelhaft - Wichtige Headers fehlen
F	Kritisch - Kaum Schutz vorhanden

Wichtige Header wie HSTS und CSP geben mehr Punkte als optionale.

Weitere Tools

Für noch detailliertere Analysen empfehle ich:

securityheaders.com - Ausführliche Header-Analyse
Mozilla Observatory - Umfassender Security-Check
HSTS Preload Check - HSTS Preload-Liste prüfen

Wichtiger Hinweis

Teste neue Security Headers immer zuerst auf einem Staging-System! Besonders CSP kann bei falscher Konfiguration Teile deiner Website unbenutzbar machen.

Der Security Header Scanner dient als schneller Check für die grundlegende Sicherheitskonfiguration. Für Produktionssysteme empfehle ich zusätzlich regelmässige Penetration-Tests und Security-Audits.

Du hast Fragen oder Verbesserungsvorschläge? Schreib mir in den Kommentaren oder komm auf meinen Discord-Kanal.

FAQ - Frequently Asked Questions DarkWolfCave

Häufig gestellte Fragen

Was sind HTTP Security Headers?: HTTP Security Headers sind spezielle HTTP-Antwort-Header, die dem Browser mitteilen, wie er sich verhalten soll. Sie bieten zusätzlichen Schutz gegen Angriffe wie XSS, Clickjacking und MITM-Attacken.
Was bedeutet die Bewertung A+ bis F?: Der Scanner bewertet die gefundenen Headers und vergibt eine Note von A+ (exzellent) bis F (kritisch). Wichtige Header wie HSTS und CSP geben mehr Punkte als optionale. Eine A+ Bewertung bedeutet optimale Sicherheitskonfiguration.
Was ist HSTS (Strict-Transport-Security)?: HSTS erzwingt HTTPS-Verbindungen, selbst wenn der User HTTP eingibt. Der Browser speichert diese Anweisung und leitet automatisch auf HTTPS um. Das schützt vor Downgrade-Angriffen und SSL-Stripping.
Was macht Content-Security-Policy (CSP)?: CSP definiert erlaubte Quellen für Skripte, Styles, Bilder und andere Ressourcen. Es ist einer der wichtigsten Header gegen XSS-Angriffe, da es verhindert, dass bösartiger Code aus fremden Quellen ausgeführt wird.
Warum ist X-Frame-Options wichtig?: X-Frame-Options verhindert, dass deine Website in iframes eingebettet wird (Clickjacking-Schutz). Angreifer könnten sonst deine Seite unsichtbar über ihre eigene legen und Klicks abfangen.
Ist der Security Header Scanner kostenlos?: Ja, der Security Header Scanner auf DarkWolfCave.de ist komplett kostenlos. Keine Registrierung nötig. Die eingegebene URL wird zur Analyse an unseren Server gesendet, der die HTTP-Header abruft und auswertet.

Peter

Tech-Enthusiast seit dem C64

Seit den 80ern mit Computern unterwegs - vom C64 bis zum Raspberry Pi. Hier dokumentiere ich meine IT-Projekte, damit du (und ich) nicht immer wieder bei Null anfangen müssen.

Docker Raspberry Pi Python Linux

Mehr über mich

War dieser Artikel hilfreich?

Kommentare

Kommentare werden geladen...