F oder D im Header-Check?
Wir bringen Sie auf A+.
CSP einrichten, HSTS aktivieren, X-Frame und Permissions-Policy setzen. Auf Apache oder nginx via .htaccess oder zentrale Konfiguration — typisch 30 bis 90 Minuten.
So prüfen Sie in drei Schritten
Der Test läuft komplett im Browser, beim Anbieter Scott Helme. Kein Login, keine Installation.
URL eingeben
Auf securityheaders.com im Eingabefeld die vollständige URL eintragen — mit https://, ohne Schrägstrich. Haken bei „Hide results from the public" setzen, wenn Sie nicht öffentlich gelistet werden wollen.
Grade lesen
Groß oben in der Mitte steht das Grade-Symbol (A+ bis F) in einem farbigen Kreis. Darunter die sechs geprüften Header — jeder mit grünem Haken (gesetzt und sinnvoll) oder rotem Kreuz (fehlend oder falsch).
Missing Headers lesen
Unter „Missing Headers" steht, welche Header fehlen, und darunter jeweils eine kurze Erklärung. Diese Liste ist die Arbeitsgrundlage für die Konfiguration auf Ihrem Server.
Die Grades im Klartext
Welche Note ab wann ernst zu nehmen ist.
Grün — solide
Die zentralen Header sind gesetzt: CSP, HSTS, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy. A+ zusätzlich mit sauber konfigurierter CSP ohne „unsafe-inline".
Gelb — Lücken
Einige Header sind gesetzt, andere fehlen. B heißt meist: CSP fehlt, der Rest ist in Ordnung. C und D zeigen größere Lücken. Keine Katastrophe, aber angreifbarer als nötig.
Rot — ungeschützt
Kaum oder keine Sicherheits-Header aktiv. Der Default-Zustand vieler frischer Installationen. Moderne Browser schützen teilweise selbst, aber gegen zielgerichtete Angriffe reicht das nicht.
Die sechs Header kurz erklärt
- Content Security Policy (CSP). Regelt, von welchen Quellen Scripts, Bilder, Styles und Fonts geladen werden dürfen. Der mächtigste und anspruchsvollste Header — verhindert Cross-Site-Scripting, wenn richtig konfiguriert.
- Strict-Transport-Security (HSTS). Zwingt Browser, nur HTTPS zu nutzen. Schützt vor Downgrade-Angriffen auf dem Weg zur ersten Seiten-Anfrage.
- X-Frame-Options. Verhindert, dass Ihre Seite in einem fremden Frame geladen wird — blockt Clickjacking.
- X-Content-Type-Options: nosniff. Verhindert, dass Browser den Dateityp raten. Ohne diesen Header können manche Dateien als JavaScript ausgeführt werden, obwohl sie das nicht sein sollten.
- Referrer-Policy. Regelt, welche URL-Informationen beim Klick auf externe Links mitgesendet werden. Meist auf „strict-origin-when-cross-origin" setzen — Datenschutz und Funktionalität im Gleichgewicht.
- Permissions-Policy. Legt fest, auf welche Browser-APIs die Seite zugreifen darf (Kamera, Mikrofon, Standort, USB). Reduziert Angriffsfläche, wenn Ihre Seite diese Dinge nicht braucht.
Ihre Seite hat D oder F und Sie wollen das in Ordnung bringen?
Wir konfigurieren alle sechs Header sauber — meist über .htaccess oder zentrale PHP-Konfiguration. CSP in zwei Schritten: erst Report-Only zum Beobachten, dann scharf. Typisch 30 bis 90 Minuten, abgerechnet ab 29 Euro pro halbe Stunde.
Header einrichten lassenHäufig gestellte Fragen
Warum sind HTTP-Sicherheits-Header wichtig?
Sie sind die erste Verteidigungslinie gegen Cross-Site-Scripting, Clickjacking und Session-Hijacking. Ohne diese Header kann ein Angreifer fremden Code in Ihre Seite einschleusen, Ihre Seite unsichtbar in eine andere einbetten (um Klicks abzufangen) oder Browser dazu bringen, falsche Dateitypen auszuführen. Richtig konfigurierte Header blockieren ganze Klassen von Angriffen.
Was bedeutet ein F-Grade?
F bedeutet: keiner der geprüften Header ist gesetzt. Das ist meist der Zustand, in dem Webseiten ohne Security-Konfiguration ausgeliefert werden — ein frisches WordPress oder Shopware ohne Extra-Arbeit. Technisch funktioniert die Seite, aber moderne Sicherheitsstandards werden nicht eingehalten.
Was ist der Unterschied zwischen A und A+?
A heißt: die wichtigsten Header sind gesetzt und sinnvoll konfiguriert. A+ heißt zusätzlich: Content Security Policy (CSP) ist aktiv und nicht nur mit „report-only" eingerichtet. CSP ist der anspruchsvollste Header, weil er genau regelt, von welchen Quellen Scripts, Styles, Bilder und Fonts geladen werden dürfen.
Bricht eine Content Security Policy meine Website nicht?
Wenn man sie falsch konfiguriert, ja. Deshalb fangen wir meist mit CSP-Report-Only an — der Browser prüft, meldet Verstöße, blockiert aber nichts. So sieht man, welche externen Ressourcen die Seite tatsächlich braucht. Nach ein bis zwei Wochen Beobachtung stellt man auf enforcement um.
Was ist HSTS und warum empfehlt ihr es?
HSTS (Strict-Transport-Security) zwingt jeden Browser, Ihre Website nur noch über HTTPS anzusprechen — auch wenn jemand „http://" eintippt. Damit sind Man-in-the-Middle-Angriffe auf dem Weg von HTTP auf HTTPS-Umleitung nicht mehr möglich. Einmal eingerichtet, läuft das Jahre.
Ich nutze Cloudflare. Brauche ich trotzdem eigene Header?
Cloudflare kann einige Header automatisch setzen — aber nicht alle, und nicht immer passend für Ihre Seite. Die wichtigsten wie CSP und Permissions-Policy müssen Sie selbst definieren, weil sie Kenntnis Ihrer konkreten Inhalte brauchen. Cloudflare kann das ausliefern, aber nicht erraten.
Funktioniert das auf einem Shared-Hosting?
Meistens ja. Header lassen sich über .htaccess (Apache) oder zentrale PHP-Konfiguration setzen — beides ist auf nahezu allen Shared-Hostings möglich. Nur wenn der Provider eigene Header vorgibt, die Ihre überschreiben, braucht's eine Absprache. Das ist selten, aber bei manchen billigen Paketen ein Thema.
Beschreiben Sie Ihr Problem
Wir melden uns bei Ihnen und finden eine Lösung.