Sicherheits-Header Generieren

Name: Sicherheits-Header Generieren
Author: Kitmul

Konfigurieren und generieren Sie HTTP-Sicherheitsheader mit einer Sicherheitsbewertung. Export für Nginx, Apache und Express.js.

Konfigurieren Sie HTTP-Sicherheitsheader visuell mit einem interaktiven Editor. Aktivieren oder deaktivieren Sie Header wie HSTS, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, COEP, COOP und CORP. Sehen Sie Ihre Sicherheitsbewertung in Echtzeit und exportieren Sie als rohe Header oder Serverkonfigurationen für Nginx, Apache oder Express.js. Die gesamte Verarbeitung erfolgt in Ihrem Browser.

Sicherheitsbewertung: 70/100

Header

Strict-Transport-Security

includeSubDomainspreload

X-Frame-Options

X-Content-Type-Options: nosniff

Referrer-Policy

Permissions-Policy

Cross-Origin-Embedder-Policy

Cross-Origin-Opener-Policy

Cross-Origin-Resource-Policy

Ausgabe

Strict-Transport-Security: max-age=31536000; includeSubDomains
X-Frame-Options: DENY
X-Content-Type-Options: nosniff
Referrer-Policy: strict-origin-when-cross-origin
Permissions-Policy: camera=(), microphone=(), geolocation=()

Deine Daten bleiben in deinem Browser

War dieses Tool hilfreich?

Dieses Tool bewerten

Anleitung

So Generieren Sie Sicherheitsheader

Sicherheitsheader Aktivieren

Aktivieren oder deaktivieren Sie einzelne Header wie HSTS, X-Frame-Options, X-Content-Type-Options, Referrer-Policy und Permissions-Policy.

Ihre Sicherheitsbewertung Prüfen

Beobachten Sie, wie sich die Sicherheitsbewertung in Echtzeit aktualisiert, wenn Sie Header ein- oder ausschalten. Streben Sie die höchste Bewertung an.

Die Konfiguration Exportieren

Kopieren Sie die generierten Header als rohe HTTP-Header oder wechseln Sie den Tab für serverspezifische Snippets für Nginx, Apache oder Express.js.

Guide

Vollständiger Leitfaden zu HTTP-Sicherheitsheadern

Warum Sicherheitsheader Wichtig Sind

HTTP-Sicherheitsheader sind Ihre erste Verteidigungslinie auf der Transportschicht. Sie weisen Browser an, Sicherheitsrichtlinien durchzusetzen, bevor Seiteninhalt gerendert wird. Ohne geeignete Header ist Ihre Website anfaellig für Clickjacking, MIME-Sniffing-Angriffe, Protokoll-Downgrade-Angriffe und Cross-Origin-Datenlecks. Das Hinzufuegen der richtigen Header dauert Minuten, blockiert aber ganze Angriffsklassen automatisch.

Wesentliche Sicherheitsheader Erklärt

Strict-Transport-Security (HSTS) erzwingt HTTPS-Verbindungen. X-Frame-Options verhindert Iframe-Einbettung. X-Content-Type-Options stoppt MIME-Sniffing. Referrer-Policy steuert, wie viel URL-Information mit anderen Websites geteilt wird. Permissions-Policy beschraenkt den Zugriff auf Browserfunktionen wie Kamera, Mikrofon und Geolokalisierung. Zusammen schaffen diese Header eine robuste Sicherheitsbasis für jede Webanwendung.

Cross-Origin-Header: COEP, COOP und CORP

Cross-Origin-Embedder-Policy (COEP) verlangt, dass Ressourcen explizit die Erlaubnis zum Laden erteilen. Cross-Origin-Opener-Policy (COOP) isoliert Ihren Browsing-Kontext von Cross-Origin-Popups. Cross-Origin-Resource-Policy (CORP) steuert, welche Urspruenge Ihre Ressourcen einbetten können. Diese drei Header arbeiten zusammen, um leistungsstarke Funktionen wie SharedArrayBuffer zu ermöglichen und gleichzeitig Spectre-Klasse-Seitenkanalangriffe zu verhindern.

Sicherheitsheader in der Produktion Bereitstellen

Beginnen Sie damit, Header wo möglich im Report-Only-Modus zu aktivieren und überwachen Sie auf Probleme. Fügen Sie Header schrittweise hinzu, beginnend mit X-Content-Type-Options und X-Frame-Options, die selten Probleme verursachen. Fügen Sie dann HSTS mit einem kurzen max-age hinzu, bevor Sie ihn erhöhen. Testen Sie gruendlich mit Browser-Entwicklertools und Online-Scannern. Überprüfen Sie Header nach jedem Deployment auf Regressionen.

Sources

Examples

Konfigurationsbeispiele für Sicherheitsheader

Einfache Sichere Website

Eine statische Website, die grundlegende Sicherheitsheader zum Schutz gegen häufige Angriffe benoetigt.

Strict-Transport-Security mit max-age=31536000 und includeSubDomains aktivieren

X-Frame-Options auf DENY setzen und aktivieren

X-Content-Type-Options mit nosniff aktivieren

Referrer-Policy auf strict-origin-when-cross-origin setzen und aktivieren

Strict-Transport-Security: max-age=31536000; includeSubDomains X-Frame-Options: DENY X-Content-Type-Options: nosniff Referrer-Policy: strict-origin-when-cross-origin

Anwendung mit Cross-Origin-Isolation

Eine Webanwendung, die SharedArrayBuffer-Unterstuetzung und vollständige Cross-Origin-Isolation benoetigt.

Alle grundlegenden Sicherheitsheader aktivieren (HSTS, X-Frame-Options, X-Content-Type-Options)

Cross-Origin-Embedder-Policy auf require-corp setzen und aktivieren

Cross-Origin-Opener-Policy auf same-origin setzen und aktivieren

Cross-Origin-Resource-Policy auf same-origin setzen und aktivieren

Permissions-Policy aktivieren, um Kamera, Mikrofon und Geolokalisierung einzuschraenken

Strict-Transport-Security: max-age=31536000; includeSubDomains X-Frame-Options: DENY X-Content-Type-Options: nosniff Cross-Origin-Embedder-Policy: require-corp Cross-Origin-Opener-Policy: same-origin Cross-Origin-Resource-Policy: same-origin Permissions-Policy: camera=(), microphone=(), geolocation=()

Anwendungsfälle

Anwendungsfaelle für Sicherheitsheader

HTTPS mit HSTS Erzwingen

“Aktivieren Sie Strict-Transport-Security mit einem langen max-age und includeSubDomains, um alle Verbindungen über HTTPS zu erzwingen. Dies verhindert Downgrade-Angriffe und Cookie-Hijacking, indem sichergestellt wird, dass Browser niemals über unverschluesseltes HTTP mit Ihrem Server kommunizieren.”

Clickjacking-Angriffe Verhindern

“Setzen Sie X-Frame-Options auf DENY oder SAMEORIGIN, um zu verhindern, dass Angreifer Ihre Website in Iframes auf boesartigen Seiten einbetten. Dies schützt Benutzer davor, unwissentlich auf versteckte Schaltflaechen oder Links zu klicken, die über Ihren Inhalt gelegt werden.”

MIME-Sniffing Blockieren

“Aktivieren Sie X-Content-Type-Options mit nosniff, um zu verhindern, dass Browser Inhaltstypen erraten. Dies hindert Angreifer daran, Browser dazu zu bringen, hochgeladene Dateien als Skripte auszuführen, und schliesst einen häufigen Angriffsvektor für gespeichertes XSS.”

Häufig Gestellte Fragen

?Was sind HTTP-Sicherheitsheader?

Es sind HTTP-Antwort-Header, die Browser anweisen, Sicherheitsfunktionen wie HTTPS-Erzwingung, Clickjacking-Schutz und MIME-Typ-Beschränkungen zu aktivieren.

?Was macht HSTS?

Strict-Transport-Security weist Browser an, sich nur über HTTPS zu verbinden. Einmal konfiguriert, lehnt der Browser einfache HTTP-Verbindungen für die angegebene max-age-Dauer ab.

?Wofuer wird X-Frame-Options verwendet?

Es verhindert, dass Ihre Website in Iframes auf anderen Domains eingebettet wird, und schützt Benutzer vor Clickjacking-Angriffen mit unsichtbarem Overlay-Inhalt.

?Was misst die Sicherheitsbewertung?

Die Bewertung benotet Ihre Header-Konfiguration danach, wie viele empfohlene Sicherheitsheader aktiviert und korrekt für den Produktionseinsatz konfiguriert sind.

?Kann ich diese Header mit jedem Webserver verwenden?

Ja. Das Tool exportiert Konfigurationen für Nginx, Apache und Express.js. Sie können auch rohe Header für jeden Server oder jedes CDN kopieren.

?Sind meine Daten privat?

Ja. Alles laeuft lokal in Ihrem Browser. Keine Daten werden an einen Server gesendet. Ihre Header-Konfiguration verlaesst niemals Ihren Computer.

?Ist dieses Tool kostenlos?

Ja. Völlig kostenlos ohne Einschränkungen, keine Registrierung erforderlich. Generieren Sie so viele Konfigurationen wie noetig ohne Beschränkungen.

Hilf uns besser zu werden

Wie gefällt Ihnen dieses Tool?

Jedes Tool bei Kitmul wird auf Basis echter Nutzeranfragen gebaut. Ihre Bewertung und Ihre Vorschläge helfen uns, Bugs zu beheben, fehlende Funktionen hinzuzufügen und die Tools zu bauen, die Sie wirklich brauchen.

Empfohlene Bücher über Websicherheit und HTTP-Header

Erweitern Sie Ihre Fähigkeiten

Sicherheitstools für Webentwickler

YubiKey 5 NFC — Hardware-Sicherheitsschluessel für MFA