In diesem Artikel
Was sind HTTP-Sicherheitsheader?
HTTP-Sicherheitsheader sind Antwort-Header, die Browsern vorgeben, wie sie sich beim Verarbeiten der Inhalte Ihrer Website verhalten sollen. Sie bilden eine entscheidende Ebene der Verteidigung in der Tiefe und schützen vor gängigen Webangriffen wie Cross-Site-Scripting (XSS), Clickjacking und Protokoll-Downgrade-Angriffen, indem sie Sicherheitsrichtlinien auf Browserebene durchsetzen.
Sicherheitsheader sind Teil der von Ihrem Server gesendeten HTTP-Antwort. Ihre Einrichtung kostet nichts, erfordert keine Codeänderungen und schützt alle Besucher unabhängig von ihrer Browserversion. Wichtige Sicherheitsstandards wie OWASP empfehlen, diese Header auf jeder Produktionswebsite umzusetzen.
So funktionieren HTTP-Sicherheitsheader
Jeder Sicherheitsheader steuert einen bestimmten Aspekt des Browserverhaltens und schafft so mehrere Schutzebenen gegen unterschiedliche Angriffsvektoren.
- Content-Security-Policy (CSP) – legt vertrauenswürdige Quellen für Skripte, Stile, Bilder und andere Ressourcen fest und verhindert XSS, indem die Ausführung von nicht autorisiertem Code blockiert wird
- Strict-Transport-Security (HSTS) – zwingt Browser, für alle künftigen Anfragen an Ihre Domain HTTPS zu verwenden, und verhindert so Protokoll-Downgrade-Angriffe und Cookie-Diebstahl
- X-Frame-Options und X-Content-Type-Options – verhindern Clickjacking, indem sie das Einbetten Ihrer Seiten in iframes blockieren, und stoppen MIME-Type-Sniffing-Angriffe
Kostenlos testen – keine Registrierung erforderlich
Sicherheitsheader erzeugen →Wann sich Sicherheitsheader lohnen
Sicherheitsheader sollten auf jeder Produktionswebsite konfiguriert werden. In diesen Szenarien sind sie besonders wichtig.
- XSS-Angriffe verhindern – die Content-Security-Policy ist die wirksamste Abwehr auf Browserebene gegen Cross-Site-Scripting-Schwachstellen
- HTTPS erzwingen – HSTS mit Preload stellt sicher, dass Nutzer stets über HTTPS verbinden, sogar bei ihrem ersten Besuch über die Preload-Liste
- Compliance-Anforderungen – Standards wie PCI DSS, SOC 2 und HIPAA verlangen Sicherheitsheader als Teil der Absicherung von Webanwendungen
Häufig gestellte Fragen
Was ist der CSP-Report-Only-Modus?
Content-Security-Policy-Report-Only sendet Verstoßmeldungen an einen angegebenen Endpunkt, ohne Ressourcen tatsächlich zu blockieren. So können Sie eine neue CSP-Richtlinie in der Produktion testen, ohne Ihre Website zu beschädigen. Sobald die Berichte zeigen, dass keine legitimen Ressourcen blockiert werden, wechseln Sie in den Durchsetzungsmodus, indem Sie stattdessen den Header Content-Security-Policy verwenden.
Wie funktioniert HSTS-Preload?
HSTS-Preload ist eine von Browserherstellern gepflegte Liste, die für die aufgeführten Domains den ausschließlichen HTTPS-Zugriff fest verankert. Sobald Ihre Domain auf der Preload-Liste steht, stellen Browser niemals eine HTTP-Anfrage an sie, nicht einmal beim allerersten Besuch. Zur Qualifikation müssen Sie einen gültigen HSTS-Header mit einer max-age von mindestens einem Jahr, includeSubDomains und der preload-Direktive ausliefern.
Wie kann ich meine Sicherheitsheader testen?
Nutzen Sie Online-Tools wie securityheaders.com oder Mozilla Observatory, um Ihre Website zu scannen und eine Bewertung zu erhalten. Diese Tools prüfen alle wichtigen Sicherheitsheader und geben konkrete Empfehlungen für fehlende oder falsch konfigurierte Header. Sie können die Header auch direkt in den Browser-DevTools auf dem Reiter Netzwerk untersuchen, indem Sie sich die Antwort-Header ansehen.