Kostenlose Sicherheits-Header-Analyse – ohne Anmeldung

HTTP-Header-Checker

Bewerten Sie die HTTP-Antwort-Header jeder URL. Wir prüfen HSTS, Content-Security-Policy, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, Cross-Origin-Isolation (COOP/COEP/CORP) und Cookie-Flags – und erklären, wie Sie offene Punkte beheben.

https://

Was dieser HTTP-Header-Checker macht

Geben Sie eine beliebige öffentliche URL ein. Wir rufen sie serverseitig ab und lesen die rohen HTTP-Antwort-Header – die unsichtbaren Anweisungen, die ein Server mit jeder Seite mitsendet. Wir werten die sicherheitsrelevanten Header aus, bewerten jeden anhand aktueller Best Practices und liefern eine Bewertung von A bis F mit kurzer Erklärung und einer konkreten Empfehlung zu jedem Befund.

Anders als eine einfache Prüfung nach dem Motto „Ist der Header vorhanden?“ liest dieses Tool in die Header hinein: Es analysiert Ihre CSP-Direktiven, Ihren HSTS-Wert für max-age, Ihre Cookie-Flags und Ihre Permissions-Policy und erkennt Widersprüche – etwa ein veraltetes X-Frame-Options neben einem modernen frame-ancestors.

Was geprüft wird

  • Transport: HTTPS und Stärke von Strict-Transport-Security (HSTS).
  • Content-Sicherheit: Qualität der Content-Security-Policy, Clickjacking-Schutz (frame-ancestors / X-Frame-Options), X-Content-Type-Options.
  • Cross-Origin-Isolation: COOP, COEP und CORP.
  • Datenschutz & Richtlinien: Referrer-Policy und Permissions-Policy.
  • Cookies: die Flags Secure, HttpOnly und SameSite bei jedem Set-Cookie.
  • Informationspreisgabe: Versionsangaben in Server und X-Powered-By.

So funktioniert die Bewertung

Jeder Header wird nach Wichtigkeit gewichtet und trägt einen Teilwert von 0 bis 1 bei (bestanden / teilweise / nicht bestanden). Die Gesamtpunktzahl ist der gewichtete Durchschnitt über alle zutreffenden Prüfungen, gerundet und einer Schulnote zugeordnet: A ab 90, B ab 80, C ab 70, D ab 60, F unter 60. Konsistenzprüfungen (etwa ein überflüssiges X-Frame-Options) werden zur Einordnung angezeigt, ändern die Bewertung aber nicht.

Häufig gestellte Fragen

Verändert das Tool etwas an meiner Website?

Nein. Wir senden eine einzige, ausschließlich lesende Anfrage und analysieren die Antwort-Header. Es wird nichts verändert, und wir führen keine aktiven Tests wie gefälschte Cross-Origin-Anfragen durch.

Warum hat meine CSP nur eine Warnung erhalten?

Eine Content-Security-Policy wird nach Qualität bewertet, nicht nur nach Vorhandensein. Quellen wie 'unsafe-inline' oder 'unsafe-eval' in script-src oder ein Platzhalter * schwächen die Richtlinie und ergeben nur eine Teilwertung. Verwenden Sie Nonces oder Hashes für Inline-Skripte, um die volle Bewertung zu erreichen.

Prüfen Sie auch die TLS- bzw. Zertifikatskonfiguration?

Hier nicht – dieses Tool konzentriert sich auf die Antwort-Header. Cipher-Suites und Zertifikatsketten sind ein eigenes Thema; nutzen Sie dafür einen spezialisierten TLS-Analyzer.

Wird der Bericht zwischengespeichert?

Ja, eine Stunde pro URL – kürzer als bei unseren anderen Tools, weil sich Sicherheits-Header während der Fehlerbehebung häufig ändern. Treffer aus dem Cache werden im Ergebnis gekennzeichnet.