Öffentlicher Signal-Checker

Security-Header-Checker

Dieser Checker liest die Response-Header der öffentlichen Homepage und erklärt, welche browserseitigen Schutzsignale sichtbar sind.

Die Prüfung nutzt öffentliche Live-Signale und trifft kein Sicherheits-, Malware-, Betrugs- oder Rechtsurteil.

Öffentliche Signale prüfen

  • HTTP
  • DNS
  • TLS
  • RDAP
  • Archiv

Pfade, Query-Parameter und Fragmente werden vor der Analyse entfernt. Akzeptiert werden nur öffentliche http- und https-Hosts.

Was dieser Checker prüft

  • Strict-Transport-Security, Content-Security-Policy und X-Content-Type-Options.
  • Referrer-Policy, Permissions-Policy und X-Frame-Options.
  • Header-Werte werden als technische Belege angezeigt, wenn sie verfügbar sind.

Warum das wichtig ist

  • Security Header können typische browserseitige Risiken reduzieren und Ressourcenregeln klarer machen.
  • Sie sind besonders nützlich für Login-Bereiche, SaaS-Produkte, Shops und Formulare.

Was die Ergebnisse bedeuten

  • Vorhanden bedeutet, dass der öffentliche Response diesen Header enthielt.
  • Fehlt bedeutet, dass der Header im geprüften Response nicht sichtbar war.
  • Zu prüfen bedeutet nicht unsicher, sondern dass die Header-Strategie Kontext braucht.

Grenzen des Checks

  • Der Checker testet nicht, ob eine Policy für jede Route korrekt ist.
  • Ein Header kann auf einer Seite vorhanden sein und auf einer anderen fehlen.
  • Dies ist kein Penetrationstest und keine Sicherheitsgarantie.
Was sollte zusätzlich manuell geprüft werden?

Prüfe auffällige Werte im Kontext der konkreten Website, ihrer Unterseiten und der eingesetzten Dienste. Ein Homepage-Check kann keine vollständige Konfiguration, Rechtslage oder Sicherheitslage beweisen.

FAQ

Ist eine fehlende CSP immer ein Problem?

Nein. Der CSP-Rollout hängt von der Anwendung ab, ist aber bei Seiten mit Skripten, Formularen oder Konten oft planenswert.

Glossar

Verwandte Checker

Guide & Beispiel

Demo-Bericht öffnen

Website vor dem Kauf prüfen