ServerRecords

Hilfe & Fehlerbehebung

Sicherheits-Header

Worum es geht

Eine Handvoll HTTP-Antwort-Header weist Browser an, Schutzmechanismen zu aktivieren: HSTS (HTTPS erzwingen), CSP (Ressourcenladen einschränken), X-Frame-Options (Framing blockieren), X-Content-Type-Options (MIME-Sniffing blockieren), Referrer-Policy und Permissions-Policy.

So liest du dein Ergebnis

Für jeden Header wird gemeldet, ob er vorhanden oder fehlend ist und wovor er schützt. Fehlende Header sind Chancen, keine Ausfälle — aber sie gehören zu den günstigsten verfügbaren Sicherheitsgewinnen.

Häufige Probleme und wie du sie behebst

Die meisten oder alle Sicherheits-Header fehlen

Wie es sich zeigt: Sichtbar geht nichts kaputt, aber die Website ist unnötig Clickjacking, MIME-Verwirrung und Referrer-Leckage ausgesetzt; Scanner benoten sie schlecht.

So behebst du es: Füge sie auf Ebene des Webservers oder CDN hinzu. Sichere Einstiegswerte für fast jede Website: X-Frame-Options: DENY (oder SAMEORIGIN), X-Content-Type-Options: nosniff, Referrer-Policy: strict-origin-when-cross-origin, plus HSTS.

Das Hinzufügen einer strengen Content-Security-Policy hat die Website beschädigt

Wie es sich zeigt: Skripte, Stile oder Bilder werden nicht mehr geladen; die Konsole füllt sich mit CSP-Verletzungsfehlern.

So behebst du es: Führe CSP zuerst im Report-Only-Modus ein (Content-Security-Policy-Report-Only) und verschärfe iterativ auf Basis der Verletzungsberichte, und wechsle dann zur Durchsetzung, sobald es sauber ist.

Header in der App gesetzt, aber in der Produktion entfernt

Wie es sich zeigt: Lokale Tests zeigen die Header; der Live-Website fehlen sie.

So behebst du es: Eine vorgelagerte Proxy-/CDN-Ebene überschreibt oder entfernt sie. Setze die Header auf der äußersten Ebene, die die Verbindung terminiert (meist das CDN), oder konfiguriere sie so, dass sie die Origin-Header durchreicht.

Abfrage für diesen Eintrag starten