Toolypet
Sicherheits-Tools/Sicherheitsheader

Sicherheitsheader

HTTP-Sicherheitsheader für Ihren Webserver generieren

Voreinstellungen

Sicherheitsheader

Forces HTTPS connections for secure communication

Prevents clickjacking attacks by controlling iframe embedding

Prevents MIME type sniffing attacks

Legacy XSS filter (deprecated, use CSP instead)

Controls how much referrer information is sent

Controls browser features and APIs

Prevents loading cross-origin resources without permission

Isolates browsing context from cross-origin documents

Protects resources from being loaded by other origins

Generierte Ausgabe

Strict-Transport-Security: max-age=31536000; includeSubDomains; preload
X-Frame-Options: DENY
X-Content-Type-Options: nosniff
Referrer-Policy: strict-origin-when-cross-origin
Permissions-Policy: geolocation=(), microphone=(), camera=()

5 Header aktiviert

Implementierungshinweis

Fügen Sie diese Header zu Ihrer Webserver-Konfiguration hinzu. Für Nginx fügen Sie sie dem Server-Block hinzu. Für Apache fügen Sie sie der .htaccess oder httpd.conf hinzu. Testen Sie gründlich, bevor Sie in Produktion deployen.

Sicherheitsheader-Anleitung

Erfahren Sie, wie Sie Ihre Webanwendung mit HTTP-Sicherheitsheadern schützen

Was sind Sicherheitsheader?

HTTP-Sicherheitsheader sind Anweisungen, die Webserver an Browser senden und helfen, vor gängigen Web-Schwachstellen zu schützen. Sie kontrollieren, wie Browser den Inhalt Ihrer Website behandeln und verhindern Angriffe wie XSS, Clickjacking und Dateninjection.

Verwendung

  1. Wählen Sie eine Voreinstellung (Basis, Empfohlen oder Streng) basierend auf Ihren Sicherheitsanforderungen
  2. Schalten Sie einzelne Header ein/aus und passen Sie ihre Werte an
  3. Wählen Sie Ihr Ausgabeformat (Raw, Nginx oder Apache)
  4. Kopieren Sie die generierte Konfiguration und fügen Sie sie Ihrem Webserver hinzu

Beste Praktiken

Häufig gestellte Fragen

Welche Header sind am wichtigsten?

Die wesentlichen Header sind: Strict-Transport-Security (HSTS) zum Erzwingen von HTTPS, X-Content-Type-Options zum Verhindern von MIME-Sniffing und X-Frame-Options oder CSP frame-ancestors zum Verhindern von Clickjacking. Diese drei bieten signifikanten Schutz gegen häufige Angriffe bei minimalen Kompatibilitätsproblemen.

Werden diese Header meine Website beschädigen?

Die meisten Header wie HSTS, X-Content-Type-Options und Referrer-Policy sind sicher und werden die Funktionalität nicht beeinträchtigen. Strenge COOP/COEP-Einstellungen können jedoch Cross-Origin-Ressourcen beeinflussen. Testen Sie immer zuerst in einer Staging-Umgebung, besonders wenn Ihre Website Drittanbieter-Skripte, iframes oder Cross-Origin-APIs verwendet.

Was ist der Unterschied zwischen X-Frame-Options und CSP frame-ancestors?

Beide verhindern Clickjacking, aber CSP frame-ancestors ist flexibler und moderner. X-Frame-Options unterstützt nur DENY oder SAMEORIGIN, während frame-ancestors bestimmte Domains erlaubt. CSP frame-ancestors hat Vorrang, wenn beide gesetzt sind. Verwenden Sie frame-ancestors, wenn Sie bestimmten Websites erlauben müssen, Ihren Inhalt einzubetten.

Sollte ich HSTS preload verwenden?

HSTS preload fügt Ihre Domain zur eingebauten Nur-HTTPS-Liste der Browser hinzu. Dies bietet maximalen Schutz, ist aber schwer rückgängig zu machen. Vor dem Aktivieren von preload: Stellen Sie sicher, dass alle Subdomains HTTPS unterstützen, verpflichten Sie sich dauerhaft zu HTTPS und beginnen Sie mit einem kürzeren max-age. Fügen Sie die preload-Direktive nur hinzu, wenn Sie sicher sind.

Was sind COOP, COEP und CORP-Header?

Dies sind Isolations-Header für erweiterte Sicherheit. COOP (Cross-Origin-Opener-Policy) isoliert Ihr Fenster von Cross-Origin-Popups. COEP (Cross-Origin-Embedder-Policy) stellt sicher, dass alle Ressourcen explizit geteilt werden. CORP (Cross-Origin-Resource-Policy) kontrolliert, wer Ihre Ressourcen laden kann. Zusammen ermöglichen sie leistungsstarke Funktionen wie SharedArrayBuffer, erfordern aber, dass alle Ressourcen opt-in.

Verwandte Tools

Alle Sicherheitstools anzeigen

CSP Builder

Build Content-Security-Policy headers

Password Generator

Generate secure passwords

SHA Hash Generator

Generate SHA hashes