Guide: Web Security
Security Headers verstehen: HSTS, CSP und Browser-Hardening
Security Headers sind oft kleine Textzeilen mit großer Wirkung. Sie härten Browser-Verhalten, helfen bei Mixed Content, Clickjacking oder MIME-Sniffing und sind ein schneller Qualitätsindikator für Webprojekte.
Die wichtigsten Header
- Strict-Transport-Security erzwingt HTTPS für künftige Browser-Zugriffe.
- Content-Security-Policy begrenzt, welche Quellen für Skripte, Styles, Bilder oder Frames erlaubt sind.
- X-Content-Type-Options und Referrer-Policy härten Browser-Verhalten bei MIME-Sniffing und Referrer-Weitergabe.
Was sie nicht leisten
- Security Headers ersetzen keine saubere App-Security und keine sichere Session- oder Cookie-Konfiguration.
- Ein guter Header-Satz macht kein veraltetes TLS, keine XSS-Lücke und keine unsichere Business-Logik ungeschehen.
Wie du Fehler sauber prüfst
- Starte mit einem Header-Check und notiere, welche Header komplett fehlen.
- Prüfe dann, ob Redirects, TLS und eingebundene Drittquellen zum Header-Set passen.
- Vor allem CSP braucht einen iterativen Rollout, weil zu strikte Regeln Frontend-Funktionen brechen können.
FAQ
Welcher Header ist der wichtigste Startpunkt?
Oft HSTS für HTTPS-Disziplin und CSP für den Schutz vor unerwünschten Script-Quellen.
Kann ich fehlende Security Headers im Browser direkt sehen?
Ja, wenn die Zielseite CORS für Browser-Lesezugriffe erlaubt. Genau dafür ist der HTTP Header Checker gedacht.
Brauche ich dazu auch einen TLS-Check?
Ja, weil Security Headers und TLS zusammen den ersten Eindruck einer technisch sauberen Website bilden.