Bulk HTTP Header Prüfer

VonSercan Kahraman Veröffentlicht am

Sicherheitsheader wie Content-Security-Policy, Strict-Transport-Security und X-Frame-Options schützen Ihre Website und Ihre Besucher vor Angriffen. Das Problem: Viele Websites setzen diese Header gar nicht oder falsch – und ein vorhandener Header mit einer schwachen Konfiguration ist kaum besser als keiner.

Dieses Tool prüft bis zu 15 URLs gleichzeitig, bewertet jeden Sicherheitsheader mit einem Qualitätsscore statt eines einfachen „vorhanden/nicht vorhanden“ und deckt Informationslecks auf, bei denen Ihr Server sensible Details wie die eingesetzte Software preisgibt.

Bulk-HTTP-Header-Prüfer

Überprüfen Sie HTTP-Header und Sicherheitsbewertung für mehrere URLs.

Geben Sie bis zu 15 URLs ein. Verarbeitung erfolgt sequenziell.

Sicherheits-Header-Leitfaden

Sicherheits-Header schützen Ihre Website vor häufigen Angriffen. Hier sind die wichtigsten Header:

Content-Security-Policy (20 points)

Verhindert XSS und andere Code-Injection-Angriffe durch Kontrolle, welche Ressourcen geladen werden können.

Strict-Transport-Security (20 points)

Zwingt Browser, nur HTTPS-Verbindungen zu verwenden.

X-Content-Type-Options (15 points)

Verhindert MIME-Type-Sniffing-Angriffe.

X-Frame-Options (15 points)

Verhindert Clickjacking-Angriffe.

So funktioniert der HTTP Header Checker

  1. URLs eingeben: Geben Sie bis zu 15 URLs ein, eine pro Zeile. Das Tool analysiert jede URL einzeln und zeigt die Ergebnisse nacheinander an.
  2. Fortschritt verfolgen: Ein Fortschrittsbalken zeigt den Prüfstatus in Echtzeit.
  3. Gesamtscore lesen: Jede URL erhält einen Sicherheitsscore von 0 bis 100 Punkten, zusammengesetzt aus den einzelnen Header-Bewertungen.
  4. Header-Details analysieren: Für jeden Header sehen Sie den empfangenen Wert, die Punktzahl, die Qualitätsbewertung und konkrete Empfehlungen zur Verbesserung.
  5. Informationslecks prüfen: Ein separater Abschnitt zeigt Header, die ungewollt Informationen preisgeben – z. B. Server-Software, Programmiersprache oder CMS-Version.

Wie wird der Score berechnet?

Anders als viele Tools vergibt der Header Checker keine Punkte für bloße Anwesenheit. Stattdessen wird jeder Header nach seiner tatsächlichen Konfiguration bewertet:

  • Content-Security-Policy (20 Punkte): Abzüge für unsafe-inline, unsafe-eval, Wildcard-Quellen und fehlende Direktiven. Eine Wildcard-CSP erzielt 0 Punkte.
  • Strict-Transport-Security (20 Punkte): Bewertet max-age (mindestens 31.536.000 empfohlen), includeSubDomains und preload.
  • X-Content-Type-Options (15 Punkte): Volle Punktzahl nur bei korrektem nosniff-Wert.
  • X-Frame-Options (15 Punkte): Volle Punktzahl für DENY oder SAMEORIGIN.
  • Referrer-Policy (10 Punkte): Bewertet nach Datenschutz-Niveau der gewählten Policy.
  • Permissions-Policy (10 Punkte): Prüft, ob sensible Browser-APIs eingeschränkt sind.
  • COOP, COEP, CORP (je 5 Punkte): Moderne Isolationsheader für erhöhten Schutz.
  • Informationslecks (bis zu -10 Punkte): Jeder preisgegebene Header (Server, X-Powered-By etc.) kostet Punkte.

Änderungsprotokoll

  • Qualitätsbasierte Bewertung implementiert – statt „Header vorhanden = volle Punktzahl“ wird jetzt die tatsächliche Konfiguration analysiert
  • CSP-Linter integriert: erkennt und bestraft unsafe-inline, unsafe-eval, Wildcard-Quellen und fehlende Direktiven
  • HSTS-Bewertung nach max-age, includeSubDomains und preload Status
  • Informationsleck-Erkennung hinzugefügt: Server, X-Powered-By, X-AspNet-Version, X-Generator, X-Drupal-Cache, Via
  • Moderne Sicherheitsheader COOP, COEP und CORP in den Scorecard aufgenommen
  • Feature-Policy-Deprecation-Warnung ergänzt (Hinweis auf Nachfolger Permissions-Policy)

Hintergrund: Warum HTTP-Sicherheitsheader unverzichtbar sind

HTTP-Sicherheitsheader sind die erste Verteidigungslinie Ihrer Website gegen verbreitete Angriffstypen. Sie werden vom Server als Teil der HTTP-Antwort gesendet und weisen den Browser an, bestimmte Schutzmaßnahmen zu aktivieren.

Die wichtigsten Bedrohungen

  • Cross-Site Scripting (XSS): Angreifer schleusen schädliches JavaScript ein. Die Content-Security-Policy verhindert die Ausführung unbekannter Skripte.
  • Clickjacking: Ihre Seite wird unsichtbar in einen iframe eingebettet, und Nutzer klicken auf versteckte Elemente. X-Frame-Options und CSP frame-ancestors schützen davor.
  • Man-in-the-Middle: Ohne HSTS kann ein Angreifer die Verbindung auf HTTP herabstufen. Strict-Transport-Security erzwingt HTTPS.
  • Informationslecks: Server-Header, die Software-Versionen preisgeben, erleichtern gezielte Angriffe auf bekannte Schwachstellen.

Was sollten Sie mit den Ergebnissen tun?

  • Fehlende Header ergänzen: Die meisten Sicherheitsheader können über die Webserver-Konfiguration (Apache: .htaccess, Nginx: nginx.conf) oder über ein WordPress-Sicherheitsplugin gesetzt werden.
  • Schwache Konfigurationen verbessern: Wenn ein Header vorhanden ist, aber wenig Punkte erzielt, prüfen Sie die konkreten Empfehlungen. Eine CSP ohne script-src ist kaum wirksamer als gar keine CSP.
  • Informationslecks beseitigen: Entfernen Sie Header wie Server und X-Powered-By aus der Serverantwort oder ersetzen Sie die Werte durch generische Angaben.
  • Schrittweise vorgehen: Beginnen Sie mit HSTS und X-Content-Type-Options (einfach und risikoarm), bevor Sie eine restriktive CSP implementieren (wirkungsvoll, aber bei Fehlkonfiguration kann sie Ihre Website beeinträchtigen).

Häufig gestellte Fragen

Was ist ein guter Sicherheitsscore?

Ein Score ab 70 Punkten zeigt eine solide Basis-Sicherheit. Ab 85 Punkten ist Ihre Website gut geschützt. 100 Punkte sind möglich, erfordern aber eine sehr restriktive Konfiguration, die nicht für jede Website sinnvoll ist.

Warum bekomme ich trotz vorhandener CSP nur wenig Punkte?

Dieses Tool bewertet die Qualität der CSP, nicht nur ihre Anwesenheit. Eine CSP mit unsafe-inline oder Wildcard-Quellen (*) bietet wenig Schutz und erhält daher wenig Punkte. Entfernen Sie unsichere Direktiven und verwenden Sie stattdessen Nonce- oder Hash-basierte Richtlinien.

Was bedeutet „Informationsleck“?

Server-Header wie Server: Apache/2.4.54 oder X-Powered-By: PHP/8.1 verraten Angreifern die genaue Software-Version Ihres Servers. Damit können sie gezielt nach bekannten Schwachstellen für diese Version suchen.

Kann ich Header über WordPress setzen?

Ja. Es gibt mehrere Wege: über Sicherheitsplugins (z. B. Headers Security Advanced), über die .htaccess-Datei (Apache) oder über die Server-Konfiguration. Die einfachste Lösung für WordPress-Nutzer ist ein Sicherheitsplugin.

Warum wird X-XSS-Protection nur niedrig bewertet?

Der X-XSS-Protection-Header ist veraltet. Moderne Browser unterstützen ihn nicht mehr, weil der eingebaute XSS-Filter selbst Sicherheitslücken aufwies. Die Content-Security-Policy ist der empfohlene Nachfolger.

Was ist der Unterschied zwischen Feature-Policy und Permissions-Policy?

Feature-Policy ist der veraltete Vorgänger von Permissions-Policy. Beide steuern, welche Browser-APIs (Kamera, Mikrofon, Geolocation) eine Seite nutzen darf. Wenn das Tool eine Feature-Policy erkennt, wird ein Hinweis angezeigt, auf die moderne Permissions-Policy umzusteigen.

Weitere Tools, die du mal testen solltest

  • Cloaking-Detektor: Sehen Crawler das Gleiche wie Besucher?

    24. April 2026

  • Social Preview: Wie Ihre Seite auf Facebook, X, LinkedIn & Co. aussieht

    24. April 2026

  • Sitemap / Robots.txt Cross-Check: Zwei Quellen, eine Wahrheit

    24. April 2026

  • AI Bot Log Parser

    14. April 2026

  • Prompt Injection Scanner

    14. April 2026

  • AI Bots Access Checker – Können AI Crawler meine Seiten sehen?

    11. Januar 2026