HTTP-Header-Checker
Rufe die HTTP-Antwort-Header einer beliebigen URL ab. Untersuche Sicherheits-Header, Server-Software, Caching-Direktiven und Weiterleitungsketten.
Gib eine URL ein, um die zurückgegebenen HTTP-Antwort-Header zu untersuchen.
Alle Netzwerk-Tools, die du je brauchen wirst.
Speziell entwickelte Tools für Ports, IPs, DNS und E-Mail. Komplett kostenlos, alle laufen über externe Probes.
Port-Checker
Beliebigen TCP-Port auf einem beliebigen Host prüfen
DNS-Lookup
IP-Adressen hinter einer Domain nachschlagen
rDNS-Check
Reverse-DNS: IPs Hostnamen zuordnen (PTR)
Ping-Tool
Host-Erreichbarkeit per ICMP prüfen
Speedtest
Download, Upload und Latenz messen
Proxy-Check
VPN- oder Proxy-Nutzung erkennen
Link-Checker
Prüfen, ob URLs erreichbar sind
HTTP-Header-Checker
Antwort-Header untersuchen
Was ist meine IP?
Deine aktuelle öffentliche IP-Adresse anzeigen
IP-Subnetzrechner
Masken, Bereiche und CIDR-Berechnungen durchführen
IP-Konverter
Zwischen IPv4 und IPv6 konvertieren (in beide Richtungen)
ASN-Lookup
Organisation, ISP und IP-Bereiche per ASN nachschlagen
IP-Blacklist-Checker
Prüfen, ob eine IP auf einer Spamliste steht
IPv6-Website-Test
Testen, ob eine Website IPv6 unterstützt (AAAA + Erreichbarkeit)
SPF-Record-Checker
E-Mail-Absenderrichtlinie überprüfen
DMARC-Validator
Richtlinie, Ausrichtung und Berichtskonfiguration lesen
DKIM-Checker
DKIM-Signaturen prüfen
E-Mail-Header-Analyzer
E-Mail-Ursprung und -Routing nachverfolgen
HTTP-Header-Checker: Was er macht und warum er wichtig ist
Wenn ein Browser eine Webseite aufruft, antwortet der Server mit einer Reihe von HTTP-Response-Headern, bevor überhaupt HTML ausgeliefert wird. Diese Header enthalten Anweisungen, die Caching, Inhaltstypen, Sicherheitsrichtlinien und vieles mehr steuern. Viele dieser Anweisungen sind optional, und Seiten, die wichtige Header weglassen, geben dem Browser keine Orientierung, wie er mit potenziellen Bedrohungen umgehen soll.
Der HTTP-Header-Checker auf Pingie ruft alle Response-Header einer URL ab und führt eine Sicherheitsanalyse durch. Er bewertet die Konfiguration auf einer Skala von 0 bis 100 und zeigt an, welche Header fehlen, vorhanden oder falsch konfiguriert sind.
Was der Sicherheitsscore misst
Der Score zeigt, wie gut die Header einer Seite mit etablierten Browser-Sicherheitsrichtlinien übereinstimmen. Jeder Header bringt eine feste Punktzahl, und die Gesamtsumme gibt dir ein klares Bild des aktuellen Stands.
- Content-Security-Policy (CSP) : 20 Punkte. Legt fest, welche Ressourcen der Browser laden darf, und verringert so das Risiko von Cross-Site-Scripting-Angriffen.
- Strict-Transport-Security (HSTS) : 15 Punkte. Weist Browser an, für alle zukünftigen Anfragen an die Domain HTTPS zu verwenden, auch wenn der Nutzer HTTP eingibt.
- X-Frame-Options : 10 Punkte. Verhindert, dass die Seite in iFrames eingebettet wird, und schützt so vor Clickjacking.
-
X-Content-Type-Options
: 10 Punkte. Wenn auf
nosniffgesetzt, verhindert dieser Header, dass Browser den MIME-Typ einer Datei erraten und sie als etwas anderes ausführen. - Referrer-Policy : 5 Punkte. Bestimmt, wie viele Referrer-Informationen mitgesendet werden, wenn ein Nutzer einem Link von der Seite folgt.
- Permissions-Policy : 5 Punkte. Schränkt ein, auf welche Browser-Funktionen die Seite zugreifen darf, zum Beispiel Kamera, Mikrofon oder Standort.
-
Kein Server-Header sichtbar
: 5 Punkte. Das Verbergen des
Server-Headers verhindert, dass Softwareversionen preisgegeben werden, die Angreifer für gezielte Attacken nutzen könnten. - Kein X-Powered-By-Header sichtbar : 5 Punkte. Gleiches Prinzip wie oben, angewendet auf das Framework oder die Laufzeitumgebung der Anwendung.
Ein perfekter Score von 100 ist ein nützlicher Richtwert, aber keine Garantie für vollständige Sicherheit. Umgekehrt bedeutet ein niedriger Score nicht zwingend, dass eine Seite aktiv angreifbar ist. Der Score ist ein strukturierter Ausgangspunkt für eine genauere Prüfung.
So prüfst du die HTTP-Header einer Website mit diesem Tool
Die Nutzung ist unkompliziert und erfordert weder ein Konto noch eine Konfiguration.
- Öffne den HTTP-Header-Checker über das Tool-Menü.
-
Gib die vollständige URL ein, die du prüfen möchtest, einschließlich des Protokolls (
https://). - Klicke auf Prüfen . Das Tool sendet eine Anfrage an die Ziel-URL und erfasst die rohen Response-Header.
- Sieh dir die vollständige Liste der vom Server zurückgegebenen Header an.
- Lies den Sicherheitsscore und die Aufschlüsselung, welche Header vorhanden sind, welche fehlen und welche falsch konfiguriert sind.
- Gehe die Warnungen und Empfehlungen unterhalb des Scores durch, um Lücken in der Konfiguration zu beheben.
Falls der Zielserver ein Problem mit dem TLS-Zertifikat hat, wiederholt das Tool die Anfrage ohne Zertifikatsprüfung, damit du trotzdem die Header-Daten erhältst. Das ist praktisch, wenn du eine Staging-Umgebung oder einen internen Server mit einem selbst signierten Zertifikat prüfen möchtest.
Wann du einen Security-Header-Checker einsetzen solltest
Die Prüfung von Response-Headern ist an verschiedenen Punkten im Lebenszyklus einer Website sinnvoll, nicht nur bei der erstmaligen Einrichtung.
- Nach dem Einspielen einer neuen Serverkonfiguration oder eines CDN, um zu bestätigen, dass die Header wie gewünscht gesendet werden.
- Während eines Sicherheits-Audits, um den aktuellen Header-Stand vor Änderungen zu dokumentieren.
- Beim Prüfen einer Drittanbieter-Website, um deren Header-Qualität zu beurteilen, bevor du sie einbindest oder verlinkst.
- Nach einem Framework- oder Plattform-Update, da Updates manchmal benutzerdefinierte Header-Regeln zurücksetzen oder entfernen.
- Bei der Fehlersuche zu Mixed-Content-Warnungen oder CSP-Verstößen in der Browser-Konsole.
Hinweis zu CSP und informationsoffenlegenden Headern
Content-Security-Policy hat in der Bewertung die höchste Punktzahl, weil er gleichzeitig am schwierigsten korrekt zu konfigurieren ist. Eine allgemeine CSP-Empfehlung kann nicht berücksichtigen, welche spezifischen Skripte, Styles und Ressourcen eine Seite lädt. Das Tool meldet das Fehlen dieses Headers und empfiehlt, ihn hinzuzufügen, aber die eigentliche Richtlinie muss auf die tatsächlichen Ressourcenanforderungen der Seite zugeschnitten werden.
Die Header
Server
und
X-Powered-By
werden aus einem anderen Grund markiert. Sie schaden Nutzern nicht direkt, verraten aber jedem, der die Antwort inspiziert, den verwendeten Software-Stack. Angreifer nutzen diese Informationen, um bekannte Exploits für bestimmte Versionen nachzuschlagen. Das Entfernen oder Verschleiern dieser Header ist ein einfacher Schritt, der die Informationsoffenlegung reduziert.
Für ein vollständigeres Bild der Konfiguration einer Domain kannst du auch einen DNS-Lookup durchführen oder E-Mail-Authentifizierungseinträge mit dem DMARC-Checker prüfen.
FAQ
Ein HTTP-Header-Checker sendet eine GET-Anfrage an eine URL und erfasst die Response-Header, die der Server zurückgibt. Er zeigt diese Header in einem lesbaren Format an und bewertet sie, wie in diesem Tool, anhand einer Reihe von Sicherheitsrichtlinien. Das Ergebnis zeigt dir, welche sicherheitsrelevanten Header vorhanden sind, welche fehlen und wie der Gesamtscore von 100 aussieht.
Das Tool vergibt für jeden sicherheitsrelevanten Header eine feste Punktzahl. Content-Security-Policy ist 20 Punkte wert, HSTS 15, X-Frame-Options und X-Content-Type-Options je 10 und Referrer-Policy sowie Permissions-Policy je 5. Das Verbergen der Header Server und X-Powered-By bringt jeweils 5 Punkte. Punkte werden abgezogen, wenn diese Header fehlen oder wenn informationsoffenlegende Header vorhanden sind. Die Gesamtsumme von 100 spiegelt den Gesamtzustand wider.
Nein. Der Score misst nur die Header-Konfiguration. Eine Seite kann alle richtigen Header gesetzt haben und trotzdem Schwachstellen im Anwendungscode, in der Datenbankschicht oder in der Serverkonfiguration aufweisen. Der Score ist ein nützlicher Indikator für die Header-Qualität, aber kein umfassendes Sicherheits-Audit. Betrachte ihn als einen von mehreren Hinweisen, nicht als abschließendes Urteil über die Gesamtsicherheit der Seite.
Du kannst jede öffentlich erreichbare URL prüfen. Wenn der Server ein selbst signiertes oder anderweitig ungültiges TLS-Zertifikat verwendet, wiederholt das Tool die Anfrage automatisch ohne Zertifikatsprüfung, damit du trotzdem die Header-Daten erhältst. Interne Server, die nicht über das öffentliche Internet erreichbar sind, können nicht geprüft werden, da die Anfrage von den Servern von Pingie ausgeht und nicht von deinem lokalen Rechner.
Diese Header enthalten oft den Namen und die Version der Webserver-Software oder des Anwendungs-Frameworks. Diese Informationen sind für Angreifer nützlich, weil sie sie mit öffentlichen Schwachstellendatenbanken abgleichen können, um bekannte Exploits für genau diese Version zu finden. Das Entfernen oder Verschleiern dieser Header behebt keine zugrunde liegenden Schwachstellen, nimmt Angreifern aber eine kostenlose Informationsquelle. Das Tool zieht Punkte ab, wenn einer dieser Header vorhanden ist und Technologiedetails preisgibt.
Dieses Tool prüft HTTP-Response-Header, die ein Webserver liefert, wenn ein Browser oder Client eine Seite aufruft. Es konzentriert sich auf Sicherheitsrichtlinien auf Browser-Ebene. Ein DMARC-Checker fragt DNS-Einträge ab, um die E-Mail-Authentifizierungsrichtlinie zu bewerten. Das eine Tool arbeitet auf der HTTP-Ebene für Web-Traffic, das andere auf der DNS-Ebene für E-Mails. Sie betreffen unterschiedliche Angriffsflächen und ergänzen sich gegenseitig, ohne sich zu überschneiden.
CSP ist mit 20 Punkten gewichtet, weil er den breitesten Schutz aller einzelnen Header bietet. Er weist den Browser an, von welchen Quellen Skripte, Styles, Bilder, Schriften und andere Ressourcen geladen werden dürfen. Ein gut konfigurierter CSP reduziert die Auswirkungen von Cross-Site-Scripting-Angriffen erheblich, indem er den Browser daran hindert, eingeschleusten Code auszuführen. Er ist jedoch auch der schwierigste Header, um ihn korrekt zu konfigurieren, da die Richtlinie genau auf die spezifischen Ressourcenanforderungen jeder Seite abgestimmt sein muss.
HSTS (Strict-Transport-Security) weist den Browser an, für alle zukünftigen Anfragen an die Domain für einen bestimmten Zeitraum HTTPS zu verwenden. Sobald der Browser diesen Header empfangen hat, sendet er während der Richtlinienlaufzeit keine einfachen HTTP-Anfragen mehr an diese Domain, auch nicht, wenn der Nutzer
http://
manuell eingibt. Das verhindert Protocol-Downgrade-Angriffe, bei denen ein Angreifer eine initiale HTTP-Anfrage abfängt, bevor eine Weiterleitung zu HTTPS erfolgen kann.
Das Tool verarbeitet die URL und gibt Ergebnisse für deine Sitzung zurück. Zur Nutzung sind keine personenbezogenen Daten erforderlich. Alle Details dazu, wie Pingie mit Daten umgeht, findest du in der Datenschutzerklärung . Gib keine URLs ein, die sensible Tokens oder Zugangsdaten im Query-String enthalten, da diese als Teil der Anfrage übertragen würden.
X-Frame-Options teilt dem Browser mit, ob die Seite in einem iFrame auf einer anderen Domain eingebettet werden darf. Wenn er auf
DENY
oder
SAMEORIGIN
gesetzt ist, verhindert er, dass Angreifer die Seite als transparente Überlagerung auf einer bösartigen Website einbetten, eine Technik namens Clickjacking. Das Ziel des Angreifers ist es, Nutzer dazu zu bringen, auf unsichtbare Elemente zu klicken, zum Beispiel Bestätigungsschaltflächen oder Berechtigungsanfragen. Dieser Header ist eine direkte Gegenmaßnahme zu dieser Technik.
Browser-Entwicklertools zeigen dir die Header deiner eigenen Browsersitzung und erfordern, dass du fehlende Sicherheits-Header manuell identifizierst. Dieses Tool ruft Header aus der Perspektive des Servers ab, bewertet sie automatisch und listet konkrete Warnungen und Empfehlungen auf. Es ist für Audit-Zwecke schneller und liefert eine strukturierte Ausgabe statt einer rohen Liste. Es ist auch nützlich, um URLs zu prüfen, die du nicht direkt im Browser aufrufen möchtest.
Permissions-Policy (früher Feature-Policy) ermöglicht es einer Website, zu deklarieren, welche Browser-Funktionen sie benötigt, und den Zugriff auf andere explizit zu sperren. Eine Seite, die keine Kamera oder Standortabfrage benötigt, kann mit diesem Header verhindern, dass irgendein Skript auf der Seite diese Berechtigungen anfordert. Das begrenzt den Schaden, falls ein von der Seite geladenes Drittanbieter-Skript kompromittiert wird oder sich unerwartet verhält. Das Tool markiert das Fehlen dieses Headers als verpasste Gelegenheit, den Funktionszugriff einzuschränken.