Sicherheits-Header Generieren

Name: Sicherheits-Header Generieren
Author: Kitmul

Konfigurieren und generieren Sie HTTP-Sicherheitsheader mit einer Sicherheitsbewertung. Export fuer Nginx, Apache und Express.js.

Konfigurieren Sie HTTP-Sicherheitsheader visuell mit einem interaktiven Editor. Aktivieren oder deaktivieren Sie Header wie HSTS, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, COEP, COOP und CORP. Sehen Sie Ihre Sicherheitsbewertung in Echtzeit und exportieren Sie als rohe Header oder Serverkonfigurationen fuer Nginx, Apache oder Express.js. Die gesamte Verarbeitung erfolgt in Ihrem Browser.

Sicherheitsbewertung: 70/100

Header

Strict-Transport-Security

includeSubDomainspreload

X-Frame-Options

X-Content-Type-Options: nosniff

Referrer-Policy

Permissions-Policy

Cross-Origin-Embedder-Policy

Cross-Origin-Opener-Policy

Cross-Origin-Resource-Policy

Ausgabe

Strict-Transport-Security: max-age=31536000; includeSubDomains
X-Frame-Options: DENY
X-Content-Type-Options: nosniff
Referrer-Policy: strict-origin-when-cross-origin
Permissions-Policy: camera=(), microphone=(), geolocation=()

Deine Daten bleiben in deinem Browser

War dieses Tool hilfreich?

Dieses Tool bewerten

Anleitung

So Generieren Sie Sicherheitsheader

Sicherheitsheader Aktivieren

Aktivieren oder deaktivieren Sie einzelne Header wie HSTS, X-Frame-Options, X-Content-Type-Options, Referrer-Policy und Permissions-Policy.

Ihre Sicherheitsbewertung Pruefen

Beobachten Sie, wie sich die Sicherheitsbewertung in Echtzeit aktualisiert, wenn Sie Header ein- oder ausschalten. Streben Sie die hoechste Bewertung an.

Die Konfiguration Exportieren

Kopieren Sie die generierten Header als rohe HTTP-Header oder wechseln Sie den Tab fuer serverspezifische Snippets fuer Nginx, Apache oder Express.js.

Guide

Vollstaendiger Leitfaden zu HTTP-Sicherheitsheadern

Warum Sicherheitsheader Wichtig Sind

HTTP-Sicherheitsheader sind Ihre erste Verteidigungslinie auf der Transportschicht. Sie weisen Browser an, Sicherheitsrichtlinien durchzusetzen, bevor Seiteninhalt gerendert wird. Ohne geeignete Header ist Ihre Website anfaellig fuer Clickjacking, MIME-Sniffing-Angriffe, Protokoll-Downgrade-Angriffe und Cross-Origin-Datenlecks. Das Hinzufuegen der richtigen Header dauert Minuten, blockiert aber ganze Angriffsklassen automatisch.

Wesentliche Sicherheitsheader Erklaert

Strict-Transport-Security (HSTS) erzwingt HTTPS-Verbindungen. X-Frame-Options verhindert Iframe-Einbettung. X-Content-Type-Options stoppt MIME-Sniffing. Referrer-Policy steuert, wie viel URL-Information mit anderen Websites geteilt wird. Permissions-Policy beschraenkt den Zugriff auf Browserfunktionen wie Kamera, Mikrofon und Geolokalisierung. Zusammen schaffen diese Header eine robuste Sicherheitsbasis fuer jede Webanwendung.

Cross-Origin-Header: COEP, COOP und CORP

Cross-Origin-Embedder-Policy (COEP) verlangt, dass Ressourcen explizit die Erlaubnis zum Laden erteilen. Cross-Origin-Opener-Policy (COOP) isoliert Ihren Browsing-Kontext von Cross-Origin-Popups. Cross-Origin-Resource-Policy (CORP) steuert, welche Urspruenge Ihre Ressourcen einbetten koennen. Diese drei Header arbeiten zusammen, um leistungsstarke Funktionen wie SharedArrayBuffer zu ermoeglichen und gleichzeitig Spectre-Klasse-Seitenkanalangriffe zu verhindern.

Sicherheitsheader in der Produktion Bereitstellen

Beginnen Sie damit, Header wo moeglich im Report-Only-Modus zu aktivieren und ueberwachen Sie auf Probleme. Fuegen Sie Header schrittweise hinzu, beginnend mit X-Content-Type-Options und X-Frame-Options, die selten Probleme verursachen. Fuegen Sie dann HSTS mit einem kurzen max-age hinzu, bevor Sie ihn erhoehen. Testen Sie gruendlich mit Browser-Entwicklertools und Online-Scannern. Ueberpruefen Sie Header nach jedem Deployment auf Regressionen.

Sources

Examples

Konfigurationsbeispiele fuer Sicherheitsheader

Einfache Sichere Website

Eine statische Website, die grundlegende Sicherheitsheader zum Schutz gegen haeufige Angriffe benoetigt.

Strict-Transport-Security mit max-age=31536000 und includeSubDomains aktivieren

X-Frame-Options auf DENY setzen und aktivieren

X-Content-Type-Options mit nosniff aktivieren

Referrer-Policy auf strict-origin-when-cross-origin setzen und aktivieren

Strict-Transport-Security: max-age=31536000; includeSubDomains X-Frame-Options: DENY X-Content-Type-Options: nosniff Referrer-Policy: strict-origin-when-cross-origin

Anwendung mit Cross-Origin-Isolation

Eine Webanwendung, die SharedArrayBuffer-Unterstuetzung und vollstaendige Cross-Origin-Isolation benoetigt.

Alle grundlegenden Sicherheitsheader aktivieren (HSTS, X-Frame-Options, X-Content-Type-Options)

Cross-Origin-Embedder-Policy auf require-corp setzen und aktivieren

Cross-Origin-Opener-Policy auf same-origin setzen und aktivieren

Cross-Origin-Resource-Policy auf same-origin setzen und aktivieren

Permissions-Policy aktivieren, um Kamera, Mikrofon und Geolokalisierung einzuschraenken

Strict-Transport-Security: max-age=31536000; includeSubDomains X-Frame-Options: DENY X-Content-Type-Options: nosniff Cross-Origin-Embedder-Policy: require-corp Cross-Origin-Opener-Policy: same-origin Cross-Origin-Resource-Policy: same-origin Permissions-Policy: camera=(), microphone=(), geolocation=()

Anwendungsfälle

Anwendungsfaelle fuer Sicherheitsheader

HTTPS mit HSTS Erzwingen

“Aktivieren Sie Strict-Transport-Security mit einem langen max-age und includeSubDomains, um alle Verbindungen ueber HTTPS zu erzwingen. Dies verhindert Downgrade-Angriffe und Cookie-Hijacking, indem sichergestellt wird, dass Browser niemals ueber unverschluesseltes HTTP mit Ihrem Server kommunizieren.”

Clickjacking-Angriffe Verhindern

“Setzen Sie X-Frame-Options auf DENY oder SAMEORIGIN, um zu verhindern, dass Angreifer Ihre Website in Iframes auf boesartigen Seiten einbetten. Dies schuetzt Benutzer davor, unwissentlich auf versteckte Schaltflaechen oder Links zu klicken, die ueber Ihren Inhalt gelegt werden.”

MIME-Sniffing Blockieren

“Aktivieren Sie X-Content-Type-Options mit nosniff, um zu verhindern, dass Browser Inhaltstypen erraten. Dies hindert Angreifer daran, Browser dazu zu bringen, hochgeladene Dateien als Skripte auszufuehren, und schliesst einen haeufigen Angriffsvektor fuer gespeichertes XSS.”

Haeufig Gestellte Fragen

?Was sind HTTP-Sicherheitsheader?

Es sind HTTP-Antwort-Header, die Browser anweisen, Sicherheitsfunktionen wie HTTPS-Erzwingung, Clickjacking-Schutz und MIME-Typ-Beschraenkungen zu aktivieren.

?Was macht HSTS?

Strict-Transport-Security weist Browser an, sich nur ueber HTTPS zu verbinden. Einmal konfiguriert, lehnt der Browser einfache HTTP-Verbindungen fuer die angegebene max-age-Dauer ab.

?Wofuer wird X-Frame-Options verwendet?

Es verhindert, dass Ihre Website in Iframes auf anderen Domains eingebettet wird, und schuetzt Benutzer vor Clickjacking-Angriffen mit unsichtbarem Overlay-Inhalt.

?Was misst die Sicherheitsbewertung?

Die Bewertung benotet Ihre Header-Konfiguration danach, wie viele empfohlene Sicherheitsheader aktiviert und korrekt fuer den Produktionseinsatz konfiguriert sind.

?Kann ich diese Header mit jedem Webserver verwenden?

Ja. Das Tool exportiert Konfigurationen fuer Nginx, Apache und Express.js. Sie koennen auch rohe Header fuer jeden Server oder jedes CDN kopieren.

?Sind meine Daten privat?

Ja. Alles laeuft lokal in Ihrem Browser. Keine Daten werden an einen Server gesendet. Ihre Header-Konfiguration verlaesst niemals Ihren Computer.

?Ist dieses Tool kostenlos?

Ja. Voellig kostenlos ohne Einschraenkungen, keine Registrierung erforderlich. Generieren Sie so viele Konfigurationen wie noetig ohne Beschraenkungen.

Hilf uns besser zu werden

Wie gefällt Ihnen dieses Tool?

Jedes Tool bei Kitmul wird auf Basis echter Nutzeranfragen gebaut. Ihre Bewertung und Ihre Vorschläge helfen uns, Bugs zu beheben, fehlende Funktionen hinzuzufügen und die Tools zu bauen, die Sie wirklich brauchen.

Empfohlene Buecher ueber Websicherheit und HTTP-Header

Erweitern Sie Ihre Fähigkeiten

Sicherheitstools fuer Webentwickler

YubiKey 5 NFC — Hardware-Sicherheitsschluessel fuer MFA