Bulk HTTP Header Prüfer
Sicherheitsheader wie Content-Security-Policy, Strict-Transport-Security und X-Frame-Options schützen Ihre Website und Ihre Besucher vor Angriffen. Das Problem: Viele Websites setzen diese Header gar nicht oder falsch – und ein vorhandener Header mit einer schwachen Konfiguration ist kaum besser als keiner.
Dieses Tool prüft bis zu 15 URLs gleichzeitig, bewertet jeden Sicherheitsheader mit einem Qualitätsscore statt eines einfachen „vorhanden/nicht vorhanden“ und deckt Informationslecks auf, bei denen Ihr Server sensible Details wie die eingesetzte Software preisgibt.
Bulk-HTTP-Header-Prüfer
Überprüfen Sie HTTP-Header und Sicherheitsbewertung für mehrere URLs.
Geben Sie bis zu 15 URLs ein. Verarbeitung erfolgt sequenziell.
Sicherheits-Header-Leitfaden
Sicherheits-Header schützen Ihre Website vor häufigen Angriffen. Hier sind die wichtigsten Header:
Content-Security-Policy (20 points)
Verhindert XSS und andere Code-Injection-Angriffe durch Kontrolle, welche Ressourcen geladen werden können.
Strict-Transport-Security (20 points)
Zwingt Browser, nur HTTPS-Verbindungen zu verwenden.
X-Content-Type-Options (15 points)
Verhindert MIME-Type-Sniffing-Angriffe.
X-Frame-Options (15 points)
Verhindert Clickjacking-Angriffe.
So funktioniert der HTTP Header Checker
- URLs eingeben: Geben Sie bis zu 15 URLs ein, eine pro Zeile. Das Tool analysiert jede URL einzeln und zeigt die Ergebnisse nacheinander an.
- Fortschritt verfolgen: Ein Fortschrittsbalken zeigt den Prüfstatus in Echtzeit.
- Gesamtscore lesen: Jede URL erhält einen Sicherheitsscore von 0 bis 100 Punkten, zusammengesetzt aus den einzelnen Header-Bewertungen.
- Header-Details analysieren: Für jeden Header sehen Sie den empfangenen Wert, die Punktzahl, die Qualitätsbewertung und konkrete Empfehlungen zur Verbesserung.
- Informationslecks prüfen: Ein separater Abschnitt zeigt Header, die ungewollt Informationen preisgeben – z. B. Server-Software, Programmiersprache oder CMS-Version.
Häufige Fragen
Häufige Fragen
Wie wird der Score berechnet?
Anders als viele Tools vergibt der Header Checker keine Punkte für bloße Anwesenheit. Stattdessen wird jeder Header nach seiner tatsächlichen Konfiguration bewertet:
Was ist ein guter Sicherheitsscore?
Ein Score ab 70 Punkten zeigt eine solide Basis-Sicherheit. Ab 85 Punkten ist Ihre Website gut geschützt. 100 Punkte sind möglich, erfordern aber eine sehr restriktive Konfiguration, die nicht für jede Website sinnvoll ist.
Warum bekomme ich trotz vorhandener CSP nur wenig Punkte?
Dieses Tool bewertet die Qualität der CSP, nicht nur ihre Anwesenheit. Eine CSP mit unsafe-inline oder Wildcard-Quellen (*) bietet wenig Schutz und erhält daher wenig Punkte. Entfernen Sie unsichere Direktiven und verwenden Sie stattdessen Nonce- oder Hash-basierte Richtlinien.
Was bedeutet „Informationsleck“?
Server-Header wie Server: Apache/2.4.54 oder X-Powered-By: PHP/8.1 verraten Angreifern die genaue Software-Version Ihres Servers. Damit können sie gezielt nach bekannten Schwachstellen für diese Version suchen.
Kann ich Header über WordPress setzen?
Ja. Es gibt mehrere Wege: über Sicherheitsplugins (z. B. Headers Security Advanced), über die .htaccess-Datei (Apache) oder über die Server-Konfiguration. Die einfachste Lösung für WordPress-Nutzer ist ein Sicherheitsplugin.
Warum wird X-XSS-Protection nur niedrig bewertet?
Der X-XSS-Protection-Header ist veraltet. Moderne Browser unterstützen ihn nicht mehr, weil der eingebaute XSS-Filter selbst Sicherheitslücken aufwies. Die Content-Security-Policy ist der empfohlene Nachfolger.
Was ist der Unterschied zwischen Feature-Policy und Permissions-Policy?
Feature-Policy ist der veraltete Vorgänger von Permissions-Policy. Beide steuern, welche Browser-APIs (Kamera, Mikrofon, Geolocation) eine Seite nutzen darf. Wenn das Tool eine Feature-Policy erkennt, wird ein Hinweis angezeigt, auf die moderne Permissions-Policy umzusteigen.
