Was ist HSTS und wie konfiguriere ich es?

**HTTP Strict-Transport-Security** sagt Browsern: "verbinde dich fuer die naechsten N Sekunden nur ueber HTTPS mit dieser Domain, auch wenn der Nutzer `http://` tippt". Standard-Config: `Strict-Transport-Security: max-age=63072000; includeSubDomains; preload`. Das `max-age=63072000` sind 2 Jahre in Sekunden (das Minimum fuer die [Chrome-Preload-Liste](https://hstspreload.org/)). `includeSubDomains` deckt `api.deine-site.de`, `cdn.deine-site.de` etc. ab. `preload` erlaubt die Einreichung in die browser-fest-eingebaute Liste. Vorsicht: sobald du HSTS mit langer max-age ausspielst, **kannst du nicht einfach zurueck**, weil der Browser jedes Besuchers sich das merkt. Erst mit `max-age=300` testen.

Was ist Content-Security-Policy, in einer Minute?

**CSP ist eine Whitelist, von wo die Seite Ressourcen laden darf.** Ein vernuenftiger Startpunkt: `Content-Security-Policy: default-src 'self'; script-src 'self'; object-src 'none'; base-uri 'self'; frame-ancestors 'none'`. Das heisst: alles vom eigenen Origin laden, keine Scripts von Dritten, keine Flash/Plugin-Objekte, von niemandem geframed werden. **Die meisten XSS-Angriffe sterben an der CSP-Grenze**, weil das eingeschleuste Script von einer Angreifer-Domain kommt, die nicht whitelisted ist. Der kniffelige Teil ist, die Drittanbieter-Stuff, die du tatsaechlich nutzt (Google Analytics, Stripe, Cloudflare Insights), zuzulassen, ohne `'unsafe-inline'` zu oeffnen. Nutze **Nonces** oder **Hashes** dafuer.

X-Frame-Options vs CSP frame-ancestors, welches gewinnt?

**Beide funktionieren, frame-ancestors ist der moderne Weg.** `X-Frame-Options: DENY` (oder `SAMEORIGIN`) ist die 2009er-Art zu sagen "frame mich nicht". CSPs `frame-ancestors 'none'` ist die 2014er-Art und ist **flexibler**, weil du spezifische erlaubte Eltern listen kannst (`frame-ancestors 'self' https://partner.de`). Moderne Browser bevorzugen `frame-ancestors`, wenn beide gesetzt sind. Fuer maximale Kompatibilitaet **beides setzen**. Unser Inspektor gibt den Punkt, wenn mindestens eines vorhanden ist.

Warum X-Powered-By und Server-Version verstecken?

**Defense in Depth.** Wenn dein `Server: Apache/2.4.41 (Ubuntu)` und `X-Powered-By: PHP/7.4.3` in jeder Response steht, weiss ein Angreifer beim CVE-Scan **genau, welche Exploits er probieren soll**. Diese Header zu entfernen fixt keine zugrundeliegende Luecke, aber es erhoeht die Kosten automatisierter Drive-by-Angriffe. Express: `app.disable('x-powered-by')`. nginx: `server_tokens off;`. Apache: `ServerTokens Prod` + `ServerSignature Off`. PHP: `expose_php = Off` in `php.ini`. Ein nacktes `Server: nginx` ist okay; die Version ist das Entscheidende.

Wie funktioniert Permissions-Policy?

Es ist **HTTP-Level-Opt-out fuer Browser-Features**, die die Seite (und ihre iframes) nutzen darf. Beispiel: `Permissions-Policy: camera=(), microphone=(), geolocation=(), interest-cohort=()`. Die leeren Klammern heissen "niemand, nicht mal ich". Wenn du auf einer Route doch Geolokation nutzt, setze `geolocation=(self)`. Die `interest-cohort=()`-Zeile opted out von [FLoC](https://github.com/WICG/floc) (Googles Kohorten-Tracking). **Der Sinn ist iframe-Isolation**: selbst wenn ein eingebettetes Werbe-iframe `navigator.geolocation.getCurrentPosition` aufruft, verweigert der Browser, weil das Parent die Berechtigung nicht delegiert hat.

Wann Cache-Control vs ETag verwenden?

**Beides, sie loesen verschiedene Probleme.** `Cache-Control: public, max-age=31536000, immutable` ist das Richtige fuer **fingerprinted Assets** (`app.a1b2c3.js`): der Browser fragt nie nach, bis das Jahr vorbei ist, das ist schnell. `Cache-Control: no-cache` mit einem `ETag` ist das Richtige fuer **HTML-Seiten**: der Browser fragt immer den Server, schickt aber den gecachten Body, wenn das ETag noch passt (ein schnelles `304 Not Modified`). **`no-cache` heisst nicht "nicht cachen"** (das ist `no-store`); es heisst "immer erst revalidieren". Die meisten Produktivsites machen den Fingerprinted-Asset-Trick fuer JS/CSS/Bilder und ein kurzes `max-age` (60 bis 300s) plus `s-maxage` fuer HTML.

Meine Site hat 5 Redirects in der Kette. Ist das schlimm?

**Langsam, aber nicht immer kaputt.** Jeder Hop kostet einen DNS-Lookup plus TCP-Handshake plus TLS-Handshake plus 1 Round-Trip, typisch 50 bis 200 ms. Fuenf Hops sind 0,5 bis 1 Sekunde, bevor der Nutzer irgendetwas sieht. Typische Suender: `http://example.de` zu `https://example.de` zu `https://www.example.de` zu `https://www.example.de/de/` zu `https://www.example.de/de/home/`. **Fix das durch Kollabieren der Kette**: mach http-zu-https, www-vs-bare und Trailing-Slash-Redirects in einem Schritt. Marketing-Tracking-Domains (`bit.ly`, `t.co`) haengen oft eigene Hops dran; daran kannst du wenig aendern.

Was ist der Unterschied zu securityheaders.com?

**Gleiche Idee, leicht andere Bewertung.** securityheaders.com ist **die Industriereferenz**, betrieben von Scott Helme, und bewertet A+ bis F. Unser Tool gibt dir **die volle Hop-Kette** mit Per-Hop-Timings (deres kollabiert Redirects), zeigt **jeden Header** der finalen Response, gruppiert nach Zweck (Caching, CORS, Server, Custom), und nutzt eine aehnliche A-F-Rubrik mit **je einem Bonuspunkt fuer versteckte Server-Version und fehlenden X-Powered-By**. Die Empfehlungen enthalten **konkrete Config-Zeilen**, fertig zum Einfuegen. Nutze beide; Zweitmeinungen sind billig.

Wird die geprueft URL irgendwo gespeichert?

**Nein.** Die URL trifft unsere serverless Function, die Function holt **nur die Header** (wir brechen den Body ab, sobald die Header da sind, der eigentliche Inhalt deiner Seite wird also nie heruntergeladen), berechnet die Bewertung und gibt JSON zurueck. **Nichts wird geloggt, nichts beruehrt die Disk, kein Analytics feuert auf den API-Request.** Rate-Limit: **30 Requests pro Stunde** pro IP, In-Memory-Map, zuruecksetzt beim Cold-Start der Function. Der SSRF-Schutz verweigert private und Loopback-Hosts bei jedem Hop, ein boesartiger Redirect auf `10.0.0.1` wird also abgewiesen.

HTTP-Header Inspector - kostenlos

Was zeigt der HTTP-Headers-Inspektor?

URL einfuegen, Check druecken, und unser Server laeuft die Redirect-Kette Hop fuer Hop ab (bis zu 5 Hops), erfasst pro Hop Statuscode, Header und Timing und bewertet dann die Security-Header der finalen Seite von A bis F.

Du siehst genau das, was ein Browser auf der Leitung sieht: jeden Redirect, jedes Set-Cookie, jedes Cache-Control, jede CORS-Zeile. Plus eine Security-Karte, die dir in Klartext sagt, ob Strict-Transport-Security, Content-Security-Policy, X-Frame-Options, X-Content-Type-Options, Referrer-Policy und Permissions-Policy gesetzt sind, plus je einen Bonuspunkt fuer eine versteckte Server-Version und entferntes X-Powered-By.

Fuer jeden fehlenden Header gibt es eine konkrete Config-Zeile, fertig zum Einfuegen in nginx, Apache, Express oder dein CDN.

So benutzt du es

Die volle URL einfuegen (z. B. `https://deine-site.de`). Ohne `https://` ergaenzen wir es.
Check klicken oder Enter druecken. Der Server hat 8 Sekunden pro Hop und 20 Sekunden Gesamtbudget. Typische Laufzeit: 200 bis 800 ms.
Die Redirect-Kette von oben nach unten lesen: Hop 1, Hop 2, etc. Jeder zeigt URL, Statuscode (`301`, `302`, `308`) und wie lange der Server gebraucht hat.
Die Security-Score-Karte anschauen: ein Buchstabe A bis F plus eine numerische Bewertung von 10. Jede Saeule (HSTS, CSP, ...) ist eine Zeile mit gruenem Haken oder rotem Kreuz und einem Einzeiler-Fix.
All response headers (final hop) oeffnen, um jeden einzelnen Header gruppiert nach Security, Caching, CORS, Server, Sonstiges zu sehen. Den noetigen Wert mit einem Klick kopieren.

Wann das nuetzlich ist

Sieben Alltagssituationen, in denen du die Header selbst inspizieren willst:

Eine neue Landingpage geht live. Verifiziere, dass die Redirect-Kette kurz ist (maximal ein 301) und dass HSTS, CSP und X-Content-Type-Options stehen, bevor das Marketing die URL pusht.
Deine Seite hat ein B auf securityheaders.com. Nutze die Aufschluesselung, um zu sehen, welche zwei Header dich das A gekostet haben, und kopiere die empfohlenen Zeilen in nginx.
Caching verhaelt sich seltsam. Inspiziere Cache-Control, ETag, Last-Modified, Vary im finalen Hop. Wenn du `Cache-Control: no-store` siehst, wo du `max-age=3600` erwartet hattest, weisst du, dass CDN/Origin Header strippen.
CORS-Fehler im Browser. Pruefe Access-Control-Allow-Origin / -Methods / -Headers / -Credentials am fehlerhaften Endpoint. Der Inspektor zeigt die exakten Server-Werte, ohne DevTools-Akrobatik.
Verdaechtige Redirects. Manche Marketing-Tools verketten 4 bis 5 Redirects ueber Tracking-Domains. Die Hop-Liste zeigt dir jeden Schritt und das Per-Hop-Timing, damit du den langsamen findest.
CDN-Debugging. Vergleiche Header am Origin vs CDN-Edge. Unterschiedliche X-Cache, Age, Server, Via-Werte sagen dir, ob das CDN aus dem Cache ausliefert oder frisch zieht.
Compliance-Audit. Eine Security-Checkliste verlangt HSTS-Preload, kein X-Powered-By und Permissions-Policy. Der Inspektor bestaetigt oder verneint jedes Item mit kopierbarer Empfehlung.

Fragen und Antworten

Es sind Response-Header, die ein Browser vor dem Rendern der Seite liest. Jeder schliesst einen spezifischen Angriffsvektor. HSTS stoppt Downgrade-Angriffe (HTTP statt HTTPS). CSP stoppt eingeschleuste Scripts (XSS) und Daten-Exfiltration. X-Frame-Options stoppt Clickjacking (deine Seite in einem fremden iframe). X-Content-Type-Options: nosniff stoppt MIME-Type-Confusion. Referrer-Policy stoppt das Leaken sensibler URLs im Referer-Header. Permissions-Policy stoppt eingebettete Frames vom Zugriff auf Kamera, Mikrofon oder Geolokation. Sie sind kostenlos, serverseitig und von jedem modernen Browser unterstuetzt, es gibt also keinen guten Grund, sie nicht zu setzen.

Was zeigt der HTTP-Headers-Inspektor?

Fuer jeden fehlenden Header gibt es eine konkrete Config-Zeile, fertig zum Einfuegen in nginx, Apache, Express oder dein CDN.

So benutzt du es

Die volle URL einfuegen (z. B. `https://deine-site.de`). Ohne `https://` ergaenzen wir es.

Check klicken oder Enter druecken. Der Server hat 8 Sekunden pro Hop und 20 Sekunden Gesamtbudget. Typische Laufzeit: 200 bis 800 ms.

Die Redirect-Kette von oben nach unten lesen: Hop 1, Hop 2, etc. Jeder zeigt URL, Statuscode (`301`, `302`, `308`) und wie lange der Server gebraucht hat.

Die Security-Score-Karte anschauen: ein Buchstabe A bis F plus eine numerische Bewertung von 10. Jede Saeule (HSTS, CSP, ...) ist eine Zeile mit gruenem Haken oder rotem Kreuz und einem Einzeiler-Fix.

All response headers (final hop) oeffnen, um jeden einzelnen Header gruppiert nach Security, Caching, CORS, Server, Sonstiges zu sehen. Den noetigen Wert mit einem Klick kopieren.

Wann das nuetzlich ist

Sieben Alltagssituationen, in denen du die Header selbst inspizieren willst:

Eine neue Landingpage geht live. Verifiziere, dass die Redirect-Kette kurz ist (maximal ein 301) und dass HSTS, CSP und X-Content-Type-Options stehen, bevor das Marketing die URL pusht.
Deine Seite hat ein B auf securityheaders.com. Nutze die Aufschluesselung, um zu sehen, welche zwei Header dich das A gekostet haben, und kopiere die empfohlenen Zeilen in nginx.
Caching verhaelt sich seltsam. Inspiziere Cache-Control, ETag, Last-Modified, Vary im finalen Hop. Wenn du `Cache-Control: no-store` siehst, wo du `max-age=3600` erwartet hattest, weisst du, dass CDN/Origin Header strippen.
CORS-Fehler im Browser. Pruefe Access-Control-Allow-Origin / -Methods / -Headers / -Credentials am fehlerhaften Endpoint. Der Inspektor zeigt die exakten Server-Werte, ohne DevTools-Akrobatik.
Verdaechtige Redirects. Manche Marketing-Tools verketten 4 bis 5 Redirects ueber Tracking-Domains. Die Hop-Liste zeigt dir jeden Schritt und das Per-Hop-Timing, damit du den langsamen findest.
CDN-Debugging. Vergleiche Header am Origin vs CDN-Edge. Unterschiedliche X-Cache, Age, Server, Via-Werte sagen dir, ob das CDN aus dem Cache ausliefert oder frisch zieht.
Compliance-Audit. Eine Security-Checkliste verlangt HSTS-Preload, kein X-Powered-By und Permissions-Policy. Der Inspektor bestaetigt oder verneint jedes Item mit kopierbarer Empfehlung.

Fragen und Antworten

HTTP-Header Inspector

Was zeigt der HTTP-Headers-Inspektor?

So benutzt du es

Wann das nuetzlich ist

Fragen und Antworten

Passende Tools

SSL-Zertifikat-Inspector

OpenGraph / Twitter Card Vorschau

HTTP Request Tester

HTTP/2 + HTTP/3 + QUIC Detektor

Cloud / CDN Detektor

HTTP-Header Inspector

Was zeigt der HTTP-Headers-Inspektor?

So benutzt du es

Wann das nuetzlich ist

Fragen und Antworten

Passende Tools

SSL-Zertifikat-Inspector

OpenGraph / Twitter Card Vorschau

HTTP Request Tester

HTTP/2 + HTTP/3 + QUIC Detektor

Cloud / CDN Detektor