HTTP Security Headers
HTTP Security Headers sind spezielle Anweisungen im HTTP-Response, die den Browser zu sicherem Verhalten auffordern. Sie schützen vor häufigen Angriffen wie Cross-Site-Scripting, Clickjacking, MIME-Sniffing und SSL-Stripping — ohne dass der Inhalt der Website geändert werden muss.
Security Headers werden vom Webserver an den Browser gesendet und dort ausgewertet. Sie sind eine der effektivsten und gleichzeitig einfachsten Sicherheitsmaßnahmen: Die Konfiguration erfolgt zentral auf dem Webserver und wirkt für alle Seiten.
Die wichtigsten Security Headers
- Strict-Transport-Security (HSTS) — Erzwingt HTTPS, schützt vor Downgrade-Angriffen
- Content-Security-Policy (CSP) — Definiert erlaubte Inhaltsquellen, schützt vor XSS
- X-Frame-Options — Verhindert Clickjacking durch Frame-Einbettung
- X-Content-Type-Options — Verhindert MIME-Sniffing
- Referrer-Policy — Kontrolliert die URL-Weitergabe bei Links
- Permissions-Policy — Schränkt Browser-Features ein
Verbreitung
Die Verbreitung von Security Headers variiert stark: Während HTTPS mittlerweile bei den meisten Websites Standard ist, fehlen CSP und Permissions-Policy bei der großen Mehrheit der Websites. Selbst einfache Header wie X-Content-Type-Options werden von vielen Webservern nicht gesetzt.
Was prüft exatics?
Unser Audit analysiert alle relevanten Security Headers automatisch und berechnet daraus einen Sicherheits-Score. Für jeden fehlenden oder falsch konfigurierten Header erhalten Sie eine konkrete Handlungsempfehlung — sowohl für Website-Betreiber als auch für Entwickler.
Häufige Fragen zu HTTP Security Headers
Wie teste ich meine Security Headers?
Unser Audit prüft alle relevanten Header automatisch. Alternativ können Sie die Browser-Entwicklertools (F12 → Network → Response Headers) oder Online-Tools wie securityheaders.com verwenden. Dort sehen Sie, welche Header gesetzt sind und welche fehlen.
Können Security Headers meine Website kaputt machen?
Die meisten Header (HSTS, X-Frame-Options, X-Content-Type-Options, Referrer-Policy) sind unkritisch und können sofort aktiviert werden. Nur CSP erfordert sorgfältige Konfiguration: Eine zu restriktive Policy kann Skripte oder Stylesheets blockieren. Beginnen Sie mit Content-Security-Policy-Report-Only, um Probleme vorab zu erkennen.
Verwandte Begriffe
Weiterführende Ratgeber: