HTTP Header-Analyzer

HTTP Header sind Metadaten, die bei jeder Anfrage und Antwort zwischen Browser und Webserver ausgetauscht werden. Response Header enthalten Informationen über den Server, die Sicherheitskonfiguration, Caching-Regeln, den Inhaltstyp und vieles mehr. Sie sind für Nutzer normalerweise unsichtbar, aber entscheidend für Sicherheit und Performance einer Website.

Öffnen Sie die Entwicklertools Ihres Browsers mit F12, wechseln Sie zum Tab „Network" (Netzwerk) und laden Sie die Seite neu. Klicken Sie auf die erste Anfrage (meist den Seitennamen) und wählen Sie „Response Headers". Alternativ können Sie im Terminal den Befehl curl -I https://ihre-domain.de ausführen.

Sicherheits-Header schützen Ihre Website und deren Besucher vor verschiedenen Angriffen. Sie verhindern Clickjacking (X-Frame-Options), Cross-Site-Scripting (Content-Security-Policy), MIME-Sniffing (X-Content-Type-Options) und erzwingen verschlüsselte Verbindungen (HSTS). Ohne diese Header ist Ihre Website anfälliger für Cyberangriffe.

HSTS (HTTP Strict Transport Security) weist den Browser an, die Website ausschließlich über HTTPS aufzurufen. Selbst wenn ein Nutzer „http://" eingibt, wird automatisch auf die verschlüsselte Verbindung umgeleitet. Das schützt vor Man-in-the-Middle-Angriffen und SSL-Stripping. Ein typischer Wert ist max-age=31536000; includeSubDomains; preload.

Die Content-Security-Policy (CSP) ist einer der wirksamsten Sicherheits-Header. Sie definiert, welche Ressourcen (Scripts, Styles, Bilder, Fonts etc.) von welchen Quellen geladen werden dürfen. Damit lassen sich Cross-Site-Scripting (XSS) und andere Injection-Angriffe effektiv verhindern. CSP ist komplex, aber enorm wichtig.

X-Frame-Options kontrolliert, ob Ihre Website in einem iframe eingebettet werden darf. Die Werte sind: DENY (niemals einbetten), SAMEORIGIN (nur von der eigenen Domain) oder ALLOW-FROM uri (nur von einer bestimmten URL). Dieser Header schützt vor Clickjacking-Angriffen, bei denen Angreifer Ihre Seite unsichtbar über eine andere legen.

Fügen Sie die fehlenden Sicherheits-Header in Ihrer Webserver-Konfiguration (Apache .htaccess, Nginx config) oder über Ihre Anwendung hinzu. Die wichtigsten sind: Strict-Transport-Security, Content-Security-Policy, X-Content-Type-Options, X-Frame-Options und Referrer-Policy. Entfernen Sie außerdem Server-Versionsangaben und den X-Powered-By-Header.

Cache-Control ist ein HTTP-Header, der bestimmt, wie und wie lange Ressourcen vom Browser oder Proxy-Servern zwischengespeichert werden dürfen. Wichtige Direktiven sind: max-age (Gültigkeit in Sekunden), no-cache (immer beim Server nachfragen), no-store (nicht cachen) und must-revalidate (nach Ablauf neu validieren). Richtiges Caching verbessert die Ladezeit erheblich.

Nein. Die gesamte Analyse findet ausschließlich in Ihrem Browser statt. Die eingefügten Header werden zu keinem Zeitpunkt an einen Server übertragen. Es werden keine Daten gespeichert oder protokolliert – sobald Sie die Seite schließen, sind alle eingegebenen Daten unwiderruflich gelöscht.

Aus Sicherheitsgründen verhindern Browser sogenannte Cross-Origin-Anfragen (CORS). Das bedeutet, dass eine Website nicht beliebig andere Websites abrufen kann. Deshalb arbeitet dieses Tool mit manuell eingefügten Headern – das garantiert 100% lokale Verarbeitung ohne Server-Beteiligung. Verwenden Sie den generierten curl-Befehl, um die Header einfach im Terminal abzurufen.