Welche Sicherheitsheader sind am wichtigsten?

Die wichtigsten: Content-Security-Policy (XSS-Schutz), Strict-Transport-Security (HTTPS-Erzwingung), X-Content-Type-Options (MIME-Sniffing-Schutz), X-Frame-Options (Clickjacking-Schutz). Diese vier bilden das Minimum für die Websicherheit.

Was ist HSTS und warum brauche ich es?

HSTS (HTTP Strict Transport Security) zwingt Browser, nur HTTPS zu verwenden. Ohne HSTS kann ein Angreifer den ersten HTTP-Request abfangen (SSL Stripping). Setzen Sie max-age auf mindestens 1 Jahr und fügen Sie includeSubDomains hinzu.

Werden Sicherheits-Header meine Website beschädigen?

X-Content-Type-Options: nosniff verhindert, dass Browser den MIME-Typ einer Antwort „erraten". Ohne diesen Header könnte ein Browser eine Textdatei als JavaScript interpretieren, was XSS-Angriffe ermöglicht. Setzen Sie ihn immer auf alle Antworten.

Was ist Clickjacking und wie schütze ich mich?

Clickjacking bettet Ihre Website in einen unsichtbaren iframe ein und verleitet Benutzer zu unbeabsichtigten Klicks. Schutz: X-Frame-Options: DENY oder SAMEORIGIN, oder Content-Security-Policy: frame-ancestors 'self'. CSP frame-ancestors ist der modernere Ansatz.

Wie setze ich Sicherheitsheader in meinem Webserver?

Nginx: add_header Strict-Transport-Security "max-age=31536000". Apache: Header always set. Express.js: helmet-Middleware. Next.js: next.config.js headers(). Cloudflare: Dashboard-Einstellungen. Testen Sie nach der Konfiguration mit einem Header-Checker.

Wie verwende ich dieses Tool in Claude/Cursor?

Sie können dieses Tool über MCP verwenden. Fügen Sie den Toolypet MCP-Server mit 'npx -y @toolypet/mcp-server@latest' zu Ihrer KI-Agent-Konfiguration hinzu. Bitten Sie dann Ihre KI, mcp__toolypet__security_header_checker mit Ihren Parametern zu verwenden.

Was ist MCP und warum unterstützt Toolypet es?

MCP (Model Context Protocol) ist ein offener Standard, der KI-Agenten wie Claude und Cursor die Nutzung externer Tools ermöglicht. Toolypet unterstützt MCP, damit Sie alle 65+ Tools sowohl im Browser als auch über KI-Agenten nutzen können, wodurch Berechnungen und Operationen nahtlos in Ihren KI-Workflow integriert werden.

Sicherheitsheader-Checker | Toolypet

Kostenloser Online-Sicherheitsheader-Checker. HTTP-Sicherheitsheader analysieren und Empfehlungen erhalten. Als MCP verfugbar.

Was ist das?

Der Security Header Checker analysiert und bewertet HTTP-Sicherheitsheader. Prüfen Sie CSP, HSTS, X-Frame-Options und andere Sicherheitsheader.

Eingabe

Häufige Sicherheits-Header

Oder Header direkt einfügen

Vorschau

URL eingeben oder Header einfügen zur Analyse

Anleitung

Geben Sie Header-Daten ein. Analyse und Bewertung werden angezeigt.

Vertiefung

Wesentliche HTTP-Sicherheitsheader und ihre Zwecke: 1. Strict-Transport-Security (HSTS): Zwingt Browser, nur HTTPS zu verwenden. max-age=31536000; includeSubDomains; preload. Schützt vor SSL-Stripping. 2. Content-Security-Policy: Kontrolliert, welche Ressourcen geladen werden dürfen. Schützt vor XSS und Dateninjection. 3. X-Content-Type-Options: nosniff verhindert MIME-Typ-Sniffing. Schützt vor MIME-Confusion-Angriffen. 4. X-Frame-Options: DENY/SAMEORIGIN verhindert Einbettung in Frames. Schützt vor Clickjacking. CSP frame-ancestors ist die modernere Alternative. 5. Referrer-Policy: Kontrolliert, welche Referrer-Informationen gesendet werden. strict-origin-when-cross-origin ist ein guter Standard. 6. Permissions-Policy: Kontrolliert Browser-Funktionen (Kamera, Mikrofon, Geolocation). Schützt vor unbefugtem API-Zugriff.

Beispiele

Analysieren Sie HTTP-Sicherheitsheader einer Website auf Vollständigkeit
Identifizieren Sie fehlende Sicherheitsheader und erhalten Sie Empfehlungen
Bewerten Sie die HSTS-Konfiguration auf korrekte Einstellungen
Prüfen Sie X-Frame-Options und Content-Security-Policy gegen Clickjacking
Erstellen Sie einen vollständigen Sicherheitsheader-Audit-Bericht

Toolypet MCP-Server installieren

Fügen Sie Toolypet-Tools mit einem einzigen Befehl zu Ihrem KI-Agenten hinzu. Funktioniert mit Claude Desktop, Claude Code, Cursor und jedem MCP-kompatiblen Client.

Schnellstart

npx -y @toolypet/mcp-server@latest

MCP-Client-Konfiguration

{
  "mcpServers": {
    "toolypet": {
      "command": "npx",
      "args": [
        "-y",
        "@toolypet/mcp-server@latest"
      ]
    }
  }
}

Tool-Name:mcp__toolypet__security_header_checker

Beispiel-Prompt

Check security headers: X-Frame-Options DENY, Strict-Transport-Security max-age=31536000

Eingabebeispiel

{
  "headers": {
    "X-Frame-Options": "DENY",
    "Strict-Transport-Security": "max-age=31536000; includeSubDomains",
    "X-Content-Type-Options": "nosniff"
  }
}

Ausgabebeispiel

{
  "score": 75,
  "grade": "B",
  "present": [
    "X-Frame-Options",
    "Strict-Transport-Security",
    "X-Content-Type-Options"
  ],
  "missing": [
    "Content-Security-Policy",
    "Referrer-Policy",
    "Permissions-Policy"
  ],
  "recommendations": [
    "Add Content-Security-Policy header",
    "Add Referrer-Policy header"
  ]
}

Häufig gestellte Fragen

Welche Sicherheitsheader sind am wichtigsten?: Die wichtigsten: Content-Security-Policy (XSS-Schutz), Strict-Transport-Security (HTTPS-Erzwingung), X-Content-Type-Options (MIME-Sniffing-Schutz), X-Frame-Options (Clickjacking-Schutz). Diese vier bilden das Minimum für die Websicherheit.
Was ist HSTS und warum brauche ich es?: HSTS (HTTP Strict Transport Security) zwingt Browser, nur HTTPS zu verwenden. Ohne HSTS kann ein Angreifer den ersten HTTP-Request abfangen (SSL Stripping). Setzen Sie max-age auf mindestens 1 Jahr und fügen Sie includeSubDomains hinzu.
Werden Sicherheits-Header meine Website beschädigen?: X-Content-Type-Options: nosniff verhindert, dass Browser den MIME-Typ einer Antwort „erraten". Ohne diesen Header könnte ein Browser eine Textdatei als JavaScript interpretieren, was XSS-Angriffe ermöglicht. Setzen Sie ihn immer auf alle Antworten.
Was ist Clickjacking und wie schütze ich mich?: Clickjacking bettet Ihre Website in einen unsichtbaren iframe ein und verleitet Benutzer zu unbeabsichtigten Klicks. Schutz: X-Frame-Options: DENY oder SAMEORIGIN, oder Content-Security-Policy: frame-ancestors 'self'. CSP frame-ancestors ist der modernere Ansatz.
Wie setze ich Sicherheitsheader in meinem Webserver?: Nginx: add_header Strict-Transport-Security "max-age=31536000". Apache: Header always set. Express.js: helmet-Middleware. Next.js: next.config.js headers(). Cloudflare: Dashboard-Einstellungen. Testen Sie nach der Konfiguration mit einem Header-Checker.
Wie verwende ich dieses Tool in Claude/Cursor?: Sie können dieses Tool über MCP verwenden. Fügen Sie den Toolypet MCP-Server mit 'npx -y @toolypet/mcp-server@latest' zu Ihrer KI-Agent-Konfiguration hinzu. Bitten Sie dann Ihre KI, mcp__toolypet__security_header_checker mit Ihren Parametern zu verwenden.
Was ist MCP und warum unterstützt Toolypet es?: MCP (Model Context Protocol) ist ein offener Standard, der KI-Agenten wie Claude und Cursor die Nutzung externer Tools ermöglicht. Toolypet unterstützt MCP, damit Sie alle 65+ Tools sowohl im Browser als auch über KI-Agenten nutzen können, wodurch Berechnungen und Operationen nahtlos in Ihren KI-Workflow integriert werden.