Sicherheits-Header-Checker
Überprüfen Sie die Sicherheitsheader Ihrer Webseite mit dem Sicherheits-Header-Checker. Analysieren Sie die HTTP-Antwortheader, um Sicherheitslücken zu identifizieren und Empfehlungen zur Verbesserung der Sicherheit zu erhalten. Schützen Sie Ihre Website durch die richtige Konfiguration von Headern wie Content-Security-Policy und HSTS.
Technische Referenz der Sicherheits-Header
Detaillierte Informationen zu jedem Sicherheits-Header und seiner Bedeutung:
Ein leistungsstarker Sicherheits-Header, der Cross-Site-Scripting (XSS) und andere Code-Injektionsangriffe verhindert. Er ermöglicht es Ihnen, festzulegen, welche Ressourcen (Skripte, Styles, Bilder usw.) vom Browser geladen werden dürfen.
default-src 'self'; script-src 'self' https://trusted.com;Beginnen Sie mit einer strengen Richtlinie und lockern Sie sie bei Bedarf schrittweise. Fügen Sie immer die Direktive default-src hinzu.
Zwingt Browser, HTTPS anstelle von HTTP für alle zukünftigen Anfragen an Ihre Domain zu verwenden. Dies hilft, Protokoll-Downgrade-Angriffe und Cookie-Diebstahl zu verhindern.
max-age=31536000; includeSubDomains; preloadVerwenden Sie ein langes max-age (mindestens 1 Jahr) und schließen Sie Subdomains ein, falls zutreffend.
Verhindert, dass Ihre Website in iframes auf anderen Websites eingebettet wird, und schützt so vor Clickjacking-Angriffen.
SAMEORIGINVerwenden Sie DENY, um das Einbetten vollständig zu verhindern, oder SAMEORIGIN, um das Einbetten nur von Ihrer eigenen Domain zuzulassen.
Aktiviert den integrierten XSS-Filter des Browsers. Während moderne Browser sich von diesem Header entfernen, bietet er eine zusätzliche Schutzschicht für ältere Browser.
1; mode=blockVerwenden Sie "1; mode=block", um den Schutz zu aktivieren und die Seite zu blockieren, wenn ein Angriff erkannt wird.
Verhindert, dass Browser eine Antwort von dem deklarierten Inhaltstyp weg MIME-schnüffeln, und reduziert die Exposition gegenüber Drive-by-Download-Angriffen.
nosniffSetzen Sie immer auf "nosniff", um MIME-Typ-Schnüffeln zu verhindern.
Steuert, wie viele Referrer-Informationen mit Anfragen übermittelt werden sollen. Dies hilft, die Privatsphäre der Benutzer zu schützen, indem kontrolliert wird, welche Informationen an andere Websites gesendet werden.
strict-origin-when-cross-originVerwenden Sie "strict-origin-when-cross-origin" für ein gutes Gleichgewicht zwischen Sicherheit und Funktionalität.
Steuert, welche Browserfunktionen und APIs auf Ihrer Website verwendet werden können. Dies hilft, den Missbrauch von sensiblen Browserfunktionen zu verhindern.
geolocation=(), microphone=(), camera=()Deaktivieren Sie Funktionen, die Sie nicht benötigen, und kontrollieren Sie sorgfältig den Zugriff auf sensible Funktionen.
Ermöglicht es Websites, festzulegen, welche Zertifizierungsstellen für Ihre Domain vertrauenswürdig sein sollten. Dies hilft, Man-in-the-Middle-Angriffe zu verhindern.
pin-sha256="base64=="; max-age=5184000Fügen Sie mindestens zwei Pins und einen Backup-Plan hinzu. Hinweis: Dieser Header wird zugunsten der Zertifikattransparenz abgeschafft.
Hauptmerkmale
- Umfassende Analyse der Sicherheits-Header
- Echtzeit-Header-Überprüfung
- Detaillierte Empfehlungen für jeden Header
- Unterstützung für alle wichtigen Sicherheits-Header
- Einfach zu verstehende Statusindikatoren
Häufige Anwendungsfälle
- Sicherheitsaudits von Websites
- Überprüfung der Sicherheitskonformität
- Web-Entwicklungstests
- Implementierung von Sicherheitsrichtlinien
- Regelmäßige Sicherheitsüberwachung
Anleitung zur Nutzung
- Geben Sie die URL der Website ein, die Sie überprüfen möchten
- Klicken Sie auf die Schaltfläche "Header überprüfen"
- Warten Sie, bis die Analyse abgeschlossen ist
- Überprüfen Sie die Ergebnisse und Empfehlungen
- Setzen Sie die vorgeschlagenen Sicherheitsverbesserungen um