Sicherheits-Header
Ruft eine URL ab und bewertet deren HTTP-Sicherheits-Header: HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy und Permissions-Policy. Fehlende oder schwache Header werden mit Empfehlungen hervorgehoben.
Häufig gestellte Fragen
- Welche Überschriften sind am wichtigsten?
- HSTS erzwingt HTTPS, Content-Security-Policy blockiert XSS, X-Frame-Options blockiert Clickjacking und X-Content-Type-Options blockiert MIME-Sniffing. Das Fehlen einer dieser Informationen ist eine häufige Schwachstelle.
- Legt mein Framework diese automatisch fest?
- Normalerweise nein. Express, Django und Rails erfordern eine explizite Konfiguration. Verwenden Sie einen Helm (Node), einen Django-Secure-Schutz oder einen Gepäckträgerschutz. Cloudflare und Vercel bieten Ein-Klick-Umschaltungen.
- Können strikte Header meine Website beschädigen?
- Ja. Ein zu strenges CSP blockiert Inline-Skripte und Analysen von Drittanbietern. Zuerst im Nur-Bericht-Modus testen, Verstöße beheben und dann durchsetzen.