HTTP-Sicherheits-Header
Analysieren Sie die Sicherheits-Header, die eine Website sendet.
HTTP-Sicherheits-Header teilen dem Browser mit, wie er Ihre Benutzer vor Angriffen wie Clickjacking, XSS oder Content-Sniffing schützen soll. Dieses Tool ruft die Website ab und prüft, welche Sicherheits-Header vorhanden sind, und zeigt deren Wert und eine Bewertung an.
FAQ zu Sicherheits-Headern
HSTS (Strict-Transport-Security) zwingt den Browser, sich immer über HTTPS mit Ihrer Domain zu verbinden, und verhindert Angriffe, die versuchen, die Verbindung auf HTTP herabzustufen. Es ist einer der wichtigsten Sicherheits-Header.
CSP definiert, von welchen Quellen eine Website Ressourcen laden darf (Skripte, Stile, Bilder...). Richtig konfiguriert ist sie die stärkste Abwehr gegen XSS-Angriffe, da sie die Ausführung von nicht autorisiertem Code blockiert.
Es verhindert, dass Ihre Website innerhalb eines iframes auf einer anderen Website geladen wird, und schützt so vor Clickjacking (den Benutzer dazu zu verleiten, auf etwas zu klicken, das er nicht sehen kann). Heute lässt sich das auch mit der frame-ancestors-Direktive von CSP erreichen.
Nein: Sie sind eine wichtige Schicht der Defense-in-Depth, aber echte Sicherheit hängt auch vom Code, der Authentifizierung, den Abhängigkeiten und der Serverkonfiguration ab. Dieses Tool bewertet nur die Antwort-Header.
Bereit, Ihr DNS zu verbessern?
Wählen Sie den besten kostenlosen DNS-Server für Ihre Bedürfnisse und konfigurieren Sie ihn in wenigen Minuten.