Skip to main content
Toolzer — Free Online Tools

Sicherheits-Header-Scanner

Prüfen Sie, ob eine Website die HTTP-Sicherheits-Header sendet, die Benutzer vor XSS-, Clickjacking- und Protokoll-Downgrade-Angriffen schützen.

Über das Werkzeug

HTTP-Sicherheits-Header sind die günstigste und effektivste Verteidigung einer Website: Ein einziger Antwort-Header kann Clickjacking blockieren, HTTPS für ein Jahr erzwingen oder eine ganze Klasse von XSS-Angriffen unterbinden. Dieser Scanner ruft jede URL ab, liest die von Ihrem Server zurückgegebenen Header und bewertet das Ergebnis im Vergleich zum modernen Standard – HSTS, CSP, X-Frame-Options, COOP, COEP, CORP, Referrer-Policy und Permissions-Policy – mit A–F.

Häufige Fragen

Welche Note sollte ich anstreben?

Jede Produktionsseite sollte mindestens B erreichen. Das Anstreben von A erfordert eine echte Content-Security-Policy, was eine bewusste Entwicklung voraussetzt – aber es ist die effektivste verfügbare XSS-Minderung.

Ist die Bereitstellung von CSP schwierig?

Ja, auf älteren Websites. Beginnen Sie im Content-Security-Policy-Report-Only-Modus, überwachen Sie Verstöße und stufen Sie dann auf Durchsetzung hoch, sobald Ihre Inline-Skripte und Drittanbieter inventarisiert sind.

Warum ist X-XSS-Protection nicht auf der Liste?

Es ist veraltet und aus modernen Browsern entfernt worden. CSP ersetzt es. Halten Sie Ihre Header kurz und prägnant.

Folgt der Scanner Weiterleitungen?

Ja. Wir bewerten die endgültige Antwort, sodass eine Domäne, die von HTTP auf HTTPS weiterleitet, anhand der HTTPS-Antwort bewertet wird, welche für die Benutzer relevant ist.