HTTP · HEADERS · SICHERHEITSANALYSE

HTTP-Header-Checker

Rufe die HTTP-Antwort-Header einer beliebigen URL ab. Untersuche Sicherheits-Header, Server-Software, Caching-Direktiven und Weiterleitungsketten.

~/pingie - http-headers
Bereit

Gib eine URL ein, um die zurückgegebenen HTTP-Antwort-Header zu untersuchen.

HTTP-Header-Checker: Was er macht und warum er wichtig ist

Wenn ein Browser eine Webseite aufruft, antwortet der Server mit einer Reihe von HTTP-Response-Headern, bevor überhaupt HTML ausgeliefert wird. Diese Header enthalten Anweisungen, die Caching, Inhaltstypen, Sicherheitsrichtlinien und vieles mehr steuern. Viele dieser Anweisungen sind optional, und Seiten, die wichtige Header weglassen, geben dem Browser keine Orientierung, wie er mit potenziellen Bedrohungen umgehen soll.

Der HTTP-Header-Checker auf Pingie ruft alle Response-Header einer URL ab und führt eine Sicherheitsanalyse durch. Er bewertet die Konfiguration auf einer Skala von 0 bis 100 und zeigt an, welche Header fehlen, vorhanden oder falsch konfiguriert sind.

Was der Sicherheitsscore misst

Der Score zeigt, wie gut die Header einer Seite mit etablierten Browser-Sicherheitsrichtlinien übereinstimmen. Jeder Header bringt eine feste Punktzahl, und die Gesamtsumme gibt dir ein klares Bild des aktuellen Stands.

  • Content-Security-Policy (CSP) : 20 Punkte. Legt fest, welche Ressourcen der Browser laden darf, und verringert so das Risiko von Cross-Site-Scripting-Angriffen.
  • Strict-Transport-Security (HSTS) : 15 Punkte. Weist Browser an, für alle zukünftigen Anfragen an die Domain HTTPS zu verwenden, auch wenn der Nutzer HTTP eingibt.
  • X-Frame-Options : 10 Punkte. Verhindert, dass die Seite in iFrames eingebettet wird, und schützt so vor Clickjacking.
  • X-Content-Type-Options : 10 Punkte. Wenn auf nosniff gesetzt, verhindert dieser Header, dass Browser den MIME-Typ einer Datei erraten und sie als etwas anderes ausführen.
  • Referrer-Policy : 5 Punkte. Bestimmt, wie viele Referrer-Informationen mitgesendet werden, wenn ein Nutzer einem Link von der Seite folgt.
  • Permissions-Policy : 5 Punkte. Schränkt ein, auf welche Browser-Funktionen die Seite zugreifen darf, zum Beispiel Kamera, Mikrofon oder Standort.
  • Kein Server-Header sichtbar : 5 Punkte. Das Verbergen des Server -Headers verhindert, dass Softwareversionen preisgegeben werden, die Angreifer für gezielte Attacken nutzen könnten.
  • Kein X-Powered-By-Header sichtbar : 5 Punkte. Gleiches Prinzip wie oben, angewendet auf das Framework oder die Laufzeitumgebung der Anwendung.

Ein perfekter Score von 100 ist ein nützlicher Richtwert, aber keine Garantie für vollständige Sicherheit. Umgekehrt bedeutet ein niedriger Score nicht zwingend, dass eine Seite aktiv angreifbar ist. Der Score ist ein strukturierter Ausgangspunkt für eine genauere Prüfung.

So prüfst du die HTTP-Header einer Website mit diesem Tool

Die Nutzung ist unkompliziert und erfordert weder ein Konto noch eine Konfiguration.

  1. Öffne den HTTP-Header-Checker über das Tool-Menü.
  2. Gib die vollständige URL ein, die du prüfen möchtest, einschließlich des Protokolls ( https:// ).
  3. Klicke auf Prüfen . Das Tool sendet eine Anfrage an die Ziel-URL und erfasst die rohen Response-Header.
  4. Sieh dir die vollständige Liste der vom Server zurückgegebenen Header an.
  5. Lies den Sicherheitsscore und die Aufschlüsselung, welche Header vorhanden sind, welche fehlen und welche falsch konfiguriert sind.
  6. Gehe die Warnungen und Empfehlungen unterhalb des Scores durch, um Lücken in der Konfiguration zu beheben.

Falls der Zielserver ein Problem mit dem TLS-Zertifikat hat, wiederholt das Tool die Anfrage ohne Zertifikatsprüfung, damit du trotzdem die Header-Daten erhältst. Das ist praktisch, wenn du eine Staging-Umgebung oder einen internen Server mit einem selbst signierten Zertifikat prüfen möchtest.

Wann du einen Security-Header-Checker einsetzen solltest

Die Prüfung von Response-Headern ist an verschiedenen Punkten im Lebenszyklus einer Website sinnvoll, nicht nur bei der erstmaligen Einrichtung.

  • Nach dem Einspielen einer neuen Serverkonfiguration oder eines CDN, um zu bestätigen, dass die Header wie gewünscht gesendet werden.
  • Während eines Sicherheits-Audits, um den aktuellen Header-Stand vor Änderungen zu dokumentieren.
  • Beim Prüfen einer Drittanbieter-Website, um deren Header-Qualität zu beurteilen, bevor du sie einbindest oder verlinkst.
  • Nach einem Framework- oder Plattform-Update, da Updates manchmal benutzerdefinierte Header-Regeln zurücksetzen oder entfernen.
  • Bei der Fehlersuche zu Mixed-Content-Warnungen oder CSP-Verstößen in der Browser-Konsole.

Hinweis zu CSP und informationsoffenlegenden Headern

Content-Security-Policy hat in der Bewertung die höchste Punktzahl, weil er gleichzeitig am schwierigsten korrekt zu konfigurieren ist. Eine allgemeine CSP-Empfehlung kann nicht berücksichtigen, welche spezifischen Skripte, Styles und Ressourcen eine Seite lädt. Das Tool meldet das Fehlen dieses Headers und empfiehlt, ihn hinzuzufügen, aber die eigentliche Richtlinie muss auf die tatsächlichen Ressourcenanforderungen der Seite zugeschnitten werden.

Die Header Server und X-Powered-By werden aus einem anderen Grund markiert. Sie schaden Nutzern nicht direkt, verraten aber jedem, der die Antwort inspiziert, den verwendeten Software-Stack. Angreifer nutzen diese Informationen, um bekannte Exploits für bestimmte Versionen nachzuschlagen. Das Entfernen oder Verschleiern dieser Header ist ein einfacher Schritt, der die Informationsoffenlegung reduziert.

Für ein vollständigeres Bild der Konfiguration einer Domain kannst du auch einen DNS-Lookup durchführen oder E-Mail-Authentifizierungseinträge mit dem DMARC-Checker prüfen.

FAQ

Ein HTTP-Header-Checker sendet eine GET-Anfrage an eine URL und erfasst die Response-Header, die der Server zurückgibt. Er zeigt diese Header in einem lesbaren Format an und bewertet sie, wie in diesem Tool, anhand einer Reihe von Sicherheitsrichtlinien. Das Ergebnis zeigt dir, welche sicherheitsrelevanten Header vorhanden sind, welche fehlen und wie der Gesamtscore von 100 aussieht.

Das Tool vergibt für jeden sicherheitsrelevanten Header eine feste Punktzahl. Content-Security-Policy ist 20 Punkte wert, HSTS 15, X-Frame-Options und X-Content-Type-Options je 10 und Referrer-Policy sowie Permissions-Policy je 5. Das Verbergen der Header Server und X-Powered-By bringt jeweils 5 Punkte. Punkte werden abgezogen, wenn diese Header fehlen oder wenn informationsoffenlegende Header vorhanden sind. Die Gesamtsumme von 100 spiegelt den Gesamtzustand wider.

Nein. Der Score misst nur die Header-Konfiguration. Eine Seite kann alle richtigen Header gesetzt haben und trotzdem Schwachstellen im Anwendungscode, in der Datenbankschicht oder in der Serverkonfiguration aufweisen. Der Score ist ein nützlicher Indikator für die Header-Qualität, aber kein umfassendes Sicherheits-Audit. Betrachte ihn als einen von mehreren Hinweisen, nicht als abschließendes Urteil über die Gesamtsicherheit der Seite.

Du kannst jede öffentlich erreichbare URL prüfen. Wenn der Server ein selbst signiertes oder anderweitig ungültiges TLS-Zertifikat verwendet, wiederholt das Tool die Anfrage automatisch ohne Zertifikatsprüfung, damit du trotzdem die Header-Daten erhältst. Interne Server, die nicht über das öffentliche Internet erreichbar sind, können nicht geprüft werden, da die Anfrage von den Servern von Pingie ausgeht und nicht von deinem lokalen Rechner.

Diese Header enthalten oft den Namen und die Version der Webserver-Software oder des Anwendungs-Frameworks. Diese Informationen sind für Angreifer nützlich, weil sie sie mit öffentlichen Schwachstellendatenbanken abgleichen können, um bekannte Exploits für genau diese Version zu finden. Das Entfernen oder Verschleiern dieser Header behebt keine zugrunde liegenden Schwachstellen, nimmt Angreifern aber eine kostenlose Informationsquelle. Das Tool zieht Punkte ab, wenn einer dieser Header vorhanden ist und Technologiedetails preisgibt.

Dieses Tool prüft HTTP-Response-Header, die ein Webserver liefert, wenn ein Browser oder Client eine Seite aufruft. Es konzentriert sich auf Sicherheitsrichtlinien auf Browser-Ebene. Ein DMARC-Checker fragt DNS-Einträge ab, um die E-Mail-Authentifizierungsrichtlinie zu bewerten. Das eine Tool arbeitet auf der HTTP-Ebene für Web-Traffic, das andere auf der DNS-Ebene für E-Mails. Sie betreffen unterschiedliche Angriffsflächen und ergänzen sich gegenseitig, ohne sich zu überschneiden.

CSP ist mit 20 Punkten gewichtet, weil er den breitesten Schutz aller einzelnen Header bietet. Er weist den Browser an, von welchen Quellen Skripte, Styles, Bilder, Schriften und andere Ressourcen geladen werden dürfen. Ein gut konfigurierter CSP reduziert die Auswirkungen von Cross-Site-Scripting-Angriffen erheblich, indem er den Browser daran hindert, eingeschleusten Code auszuführen. Er ist jedoch auch der schwierigste Header, um ihn korrekt zu konfigurieren, da die Richtlinie genau auf die spezifischen Ressourcenanforderungen jeder Seite abgestimmt sein muss.

HSTS (Strict-Transport-Security) weist den Browser an, für alle zukünftigen Anfragen an die Domain für einen bestimmten Zeitraum HTTPS zu verwenden. Sobald der Browser diesen Header empfangen hat, sendet er während der Richtlinienlaufzeit keine einfachen HTTP-Anfragen mehr an diese Domain, auch nicht, wenn der Nutzer http:// manuell eingibt. Das verhindert Protocol-Downgrade-Angriffe, bei denen ein Angreifer eine initiale HTTP-Anfrage abfängt, bevor eine Weiterleitung zu HTTPS erfolgen kann.

Das Tool verarbeitet die URL und gibt Ergebnisse für deine Sitzung zurück. Zur Nutzung sind keine personenbezogenen Daten erforderlich. Alle Details dazu, wie Pingie mit Daten umgeht, findest du in der Datenschutzerklärung . Gib keine URLs ein, die sensible Tokens oder Zugangsdaten im Query-String enthalten, da diese als Teil der Anfrage übertragen würden.

X-Frame-Options teilt dem Browser mit, ob die Seite in einem iFrame auf einer anderen Domain eingebettet werden darf. Wenn er auf DENY oder SAMEORIGIN gesetzt ist, verhindert er, dass Angreifer die Seite als transparente Überlagerung auf einer bösartigen Website einbetten, eine Technik namens Clickjacking. Das Ziel des Angreifers ist es, Nutzer dazu zu bringen, auf unsichtbare Elemente zu klicken, zum Beispiel Bestätigungsschaltflächen oder Berechtigungsanfragen. Dieser Header ist eine direkte Gegenmaßnahme zu dieser Technik.

Browser-Entwicklertools zeigen dir die Header deiner eigenen Browsersitzung und erfordern, dass du fehlende Sicherheits-Header manuell identifizierst. Dieses Tool ruft Header aus der Perspektive des Servers ab, bewertet sie automatisch und listet konkrete Warnungen und Empfehlungen auf. Es ist für Audit-Zwecke schneller und liefert eine strukturierte Ausgabe statt einer rohen Liste. Es ist auch nützlich, um URLs zu prüfen, die du nicht direkt im Browser aufrufen möchtest.

Permissions-Policy (früher Feature-Policy) ermöglicht es einer Website, zu deklarieren, welche Browser-Funktionen sie benötigt, und den Zugriff auf andere explizit zu sperren. Eine Seite, die keine Kamera oder Standortabfrage benötigt, kann mit diesem Header verhindern, dass irgendein Skript auf der Seite diese Berechtigungen anfordert. Das begrenzt den Schaden, falls ein von der Seite geladenes Drittanbieter-Skript kompromittiert wird oder sich unerwartet verhält. Das Tool markiert das Fehlen dieses Headers als verpasste Gelegenheit, den Funktionszugriff einzuschränken.