HTTP Header Checker
Security-Header jeder Website prüfen. HSTS, CSP, X-Frame-Options, Referrer-Policy und mehr — mit Bewertung und Hinweisen zur Verbesserung.
Hinweis: Die eingegebene URL wird beim Klick auf „Prüfen“ an unseren Server übertragen, der die Seite einmalig stellvertretend für dich abruft. Es werden keine Eingaben gespeichert. Details
So funktioniert das Tool
HTTP-Response-Header sind die unsichtbare Sicherheitsebene jeder Webseite — Content-Security-Policy schützt vor XSS, Strict-Transport-Security erzwingt HTTPS, X-Frame-Options verhindert Clickjacking, Referrer-Policy kontrolliert Privacy-Leaks. Unser Header-Checker holt eine URL ab und bewertet jeden Sicherheits-relevanten Header (oder das Fehlen) gegen aktuelle Best Practices, wie sie auch securityheaders.com nutzt — plus Empfehlungen, was du in der nginx- oder Coolify-Config setzen solltest.
Typische Anwendungsfälle
Vor einem Security-Audit
Eigene Site auf Header-Grade A bringen, bevor ein Pentester einsteigt — die Low-Hanging-Fruit-Findings im Audit-Report direkt vermeiden.
CSP-Migration prüfen
Nach dem Einführen einer strict-dynamic CSP: hier sehen, dass die Direktive korrekt ausgeliefert wird und keine alten unsafe-eval-Reste drin sind.
Konkurrenz-Vergleich
Wie sicher sind die Wettbewerber im Vergleich? Wer fehlt bei HSTS, COOP oder CSP, gilt im Pentest als „technical debt”.
Subdomain-Konsistenz
Wenn dein Hauptdomain alle Header sauber hat, aber status.pixzl.de keine Header schickt, ist das ein potenzielles Loch — Tool deckt das schnell auf.
Häufige Fragen
Welche Header werden bewertet?
Content-Security-Policy (CSP), Strict-Transport-Security (HSTS), X-Frame-Options (oder frame-ancestors in CSP), Referrer-Policy, Permissions-Policy (alte Feature-Policy), X-Content-Type-Options (nosniff), Cross-Origin-Opener-Policy, Cross-Origin-Resource-Policy. Plus Hinweise zu veralteten Headers wie X-XSS-Protection (heute kontraproduktiv).
Was ist eine gute CSP?
default-src 'self'; script-src 'self' 'nonce-RANDOM' 'strict-dynamic' — also nur Same-Origin als Default, Scripts nur mit Nonce, kein 'unsafe-inline'. Plus connect-src, style-src, img-src spezifisch. Verschiedene Sites brauchen verschiedene Allowlists — eine zu lockere CSP (z. B. *) bringt nichts.
Warum ist HSTS-Header so wichtig?
Strict-Transport-Security sagt dem Browser „kommunziere mit dieser Domain ab jetzt NUR über HTTPS — auch wenn der User http:// tippt”. Verhindert SSL-Stripping-Angriffe und sichert dauerhaft. max-age=31536000 (1 Jahr) + includeSubDomains ist Best Practice; preload (Browser-internes HSTS) optional.
Welche Grade-Skala wird verwendet?
A+ wenn alle Critical-Header gesetzt und stark konfiguriert (CSP ohne unsafe-*, HSTS preload). A bei vollständigem Setup ohne preload. B-D bei fehlenden Headern (jeweils ein Stufenabzug). F wenn fundamentale Headers fehlen. Ähnlich zu securityheaders.com, aber unabhängig.
Werden die geprüften URLs gespeichert?
Domain anonymisiert für 24h Rate-Limit. Header-Inhalte selbst sind öffentlich — wir loggen sie nicht. Sicher auch für interne Staging-URLs.
Verwandte Tools
Alle Daten bleiben in deinem Browser. Kein Server, kein Tracking.