Skip to main content
CheckTown

Generator für HTTP-Sicherheitsheader

Konfiguriere HTTP-Sicherheitsheader für deinen Webserver

SicherheitsbewertungB (4/6)

Strict-Transport-Security (HSTS)

Zwingt Browser zur Nutzung von HTTPS. Empfohlen: mit einer max-age von einem Jahr aktivieren.

Content-Security-Policy (CSP)

Legt fest, welche Ressourcen der Browser laden darf. Beginne mit dem Report-Only-Modus.

X-Frame-Options

Verhindert, dass deine Seite auf anderen Websites in iframes eingebettet wird.

X-Content-Type-Options

Verhindert MIME-Type-Sniffing. Setze diesen Wert immer auf nosniff.

nosniff

Referrer-Policy

Legt fest, wie viele Referrer-Informationen mit Anfragen gesendet werden.

Permissions-Policy

Legt fest, welche Browserfunktionen deine Website nutzen darf.

# Security Headers
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;
add_header X-Frame-Options "DENY" always;
add_header X-Content-Type-Options "nosniff" always;
add_header Referrer-Policy "strict-origin-when-cross-origin" always;

Mehr erfahren

HTTP-Sicherheits-Header: Schütze deine Website

Konfiguriere die wichtigsten Sicherheits-Header für deinen Webserver.

Was sind HTTP-Sicherheitsheader?

HTTP-Sicherheitsheader sind Antwort-Header, die Browsern vorgeben, wie sie sich beim Verarbeiten der Inhalte Ihrer Website verhalten sollen. Sie bilden eine entscheidende Ebene der Verteidigung in der Tiefe und schützen vor gängigen Webangriffen wie Cross-Site-Scripting (XSS), Clickjacking und Protokoll-Downgrade-Angriffen, indem sie Sicherheitsrichtlinien auf Browserebene durchsetzen.

Häufig gestellte Fragen