2026-07-14

HTTP-Sicherheitsheader: Vollständige Referenz

Sicherheitsheader: Schützen Sie Ihre Website mit HTTP-Antworten

HTTP-Sicherheitsheader sind eine leistungsstarke Möglichkeit, Ihre Website vor häufigen Angriffen zu schützen. Sie sind Anweisungen, die Ihr Server an den Browser sendet und ihm sagt, wie er sich verhalten soll. Einige gut gewählte Header können ganze Angriffskategorien verhindern, ohne dass Sie Ihren Anwendungscode ändern müssen.

Die wichtigsten Header

Content-Security-Policy (CSP) ist der leistungsstärkste Sicherheitsheader. Er teilt dem Browser mit, welche Quellen zum Laden von Skripten, Styles, Bildern und anderen Ressourcen erlaubt sind. Wenn ein Angreifer ein Skript-Tag injiziert, das auf seinen Server verweist, blockiert CSP es. CSP kann auch Inline-Skripte, eval und andere gefährliche Muster verhindern. Es ist die effektivste Einzelmaßnahme gegen Cross-Site-Scripting-Angriffe.

Strict-Transport-Security (HSTS) teilt dem Browser mit, beim Verbinden zu Ihrer Website immer HTTPS zu verwenden, selbst wenn der Benutzer http:// eingibt oder auf einen einfachen HTTP-Link klickt. Dies verhindert Man-in-the-Middle-Angriffe, bei denen ein Angreifer die initiale HTTP-Anfrage abfängt und den Benutzer auf eine gefälschte Website umleitet.

X-Frame-Options verhindert, dass Ihre Website in einem Iframe auf einer anderen Domain eingebettet wird. Dies schützt vor Clickjacking-Angriffen, bei denen ein Angreifer Benutzer dazu bringt, auf etwas zu klicken, das sie nicht beabsichtigt haben, indem er einen transparenten Iframe über eine trügerische Seite legt.

Zusätzliche Schutzheader

X-Content-Type-Options verhindert, dass der Browser den MIME-Typ einer Datei errät. Wenn Sie eine Datei als text/plain ausliefern, wird der Browser nicht versuchen, sie als JavaScript zu interpretieren, selbst wenn sie wie ein Skript aussieht. Dies verhindert eine Art von Angriff namens MIME-Sniffing.

Referrer-Policy steuert, wie viele Referrer-Informationen gesendet werden, wenn ein Benutzer auf einen Link zu einer anderen Website klickt. Eine strenge Richtlinie wie 'strict-origin-when-cross-origin' sendet die vollständige URL für gleichartige Anfragen, aber nur den Ursprung für Cross-Origin-Anfragen, was die Privatsphäre der Benutzer schützt.

Permissions-Policy (ehemals Feature-Policy) ermöglicht Ihnen, zu kontrollieren, welche Browserfunktionen Ihre Website nutzen kann. Sie können Kamera, Mikrofon, Geolokalisierung und andere Funktionen deaktivieren, die Sie nicht benötigen, und so die Angriffsfläche verringern.

Implementierung von Sicherheitsheadern

Sie können Sicherheitsheader in Ihrer Webserverkonfiguration (NGINX, Apache, Caddy), in Ihrem Anwendungsframework oder über ein CDN wie Cloudflare setzen. Es gibt Tools wie das Mozilla Observatory, die Ihre Website scannen und Ihnen sagen, welche Header fehlen oder falsch konfiguriert sind.

Beginnen Sie mit einem einfachen Satz von Headern und fügen Sie nach und nach weitere hinzu, wenn Sie deren Auswirkungen verstehen. Die wichtigsten, die zuerst implementiert werden sollten, sind HSTS, CSP, X-Frame-Options und X-Content-Type-Options. Testen Sie Ihre Website nach jeder Änderung, um sicherzustellen, dass Sie nichts kaputt gemacht haben — insbesondere CSP, das schwierig korrekt zu konfigurieren sein kann.

Lassen Sie uns zusammenarbeiten

Benötigen Sie weitere Informationen, Hilfe bei Ihrem Projekt oder zur Entwicklung einer Idee?

Ob einfache Frage, kurzer Zweifel oder ein 5-Minuten-Chat, schreib mir einfach—es kostet nichts und ich helfe immer gerne. Ich liebe es, Probleme zu verstehen, kreative Lösungen zu finden und mich auf einfache, zuverlässige und unkomplizierte Ideen zu konzentrieren, die sich schnell umsetzen lassen.

Kontaktiere mich

Thema wechseln

Wählen Sie ein spezielles Thema zum Erkunden: