Generator für HTTP-Sicherheitsheader
Konfiguriere HTTP-Sicherheitsheader für deinen Webserver
Strict-Transport-Security (HSTS)
Zwingt Browser zur Nutzung von HTTPS. Empfohlen: mit einer max-age von einem Jahr aktivieren.
Content-Security-Policy (CSP)
Legt fest, welche Ressourcen der Browser laden darf. Beginne mit dem Report-Only-Modus.
X-Frame-Options
Verhindert, dass deine Seite auf anderen Websites in iframes eingebettet wird.
X-Content-Type-Options
Verhindert MIME-Type-Sniffing. Setze diesen Wert immer auf nosniff.
nosniff
Referrer-Policy
Legt fest, wie viele Referrer-Informationen mit Anfragen gesendet werden.
Permissions-Policy
Legt fest, welche Browserfunktionen deine Website nutzen darf.
# Security Headers add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always; add_header X-Frame-Options "DENY" always; add_header X-Content-Type-Options "nosniff" always; add_header Referrer-Policy "strict-origin-when-cross-origin" always;
Mehr erfahren
Konfiguriere die wichtigsten Sicherheits-Header für deinen Webserver.
Was sind HTTP-Sicherheitsheader?
HTTP-Sicherheitsheader sind Antwort-Header, die Browsern vorgeben, wie sie sich beim Verarbeiten der Inhalte Ihrer Website verhalten sollen. Sie bilden eine entscheidende Ebene der Verteidigung in der Tiefe und schützen vor gängigen Webangriffen wie Cross-Site-Scripting (XSS), Clickjacking und Protokoll-Downgrade-Angriffen, indem sie Sicherheitsrichtlinien auf Browserebene durchsetzen.