Login Registrieren
Wissen / Leitfaden: HTTP-Security-Header

Leitfaden: HTTP-Security-Header

Stand: 19.06.2026

HTTP-Security-Header sind kleine Anweisungen, die dein Server mit jeder Antwort mitschickt und die dem Browser sagen, wie er sich sicherheitsbewusst verhalten soll. Richtig gesetzt, wehren sie ganze Angriffsklassen wie Cross-Site-Scripting, Clickjacking oder Protokoll-Downgrades ab. Welche Header deine Seite bereits sendet, zeigt dir der Header-Scan.

Strict-Transport-Security (HSTS)

Bewirkt: Zwingt den Browser, die Domain künftig ausschließlich über HTTPS aufzurufen – auch wenn jemand http:// eintippt.
Empfohlen: Strict-Transport-Security: max-age=63072000; includeSubDomains; preload
Risiko ohne: Angreifer können per SSL-Stripping die Verbindung auf unverschlüsseltes HTTP herabstufen und mitlesen. Achtung Erst setzen, wenn alle Subdomains zuverlässig HTTPS sprechen.

Content-Security-Policy (CSP)

Bewirkt: Definiert, aus welchen Quellen Skripte, Stile, Bilder usw. geladen werden dürfen – der wirksamste Schutz gegen XSS.
Empfohlen (Startpunkt): Content-Security-Policy: default-src 'self'; object-src 'none'; base-uri 'self'; frame-ancestors 'none'
Risiko ohne: Eingeschleuster Code kann ungehindert ausgeführt werden und Daten abgreifen. Eine passende Richtlinie baust du Schritt für Schritt mit dem CSP-Generator.

Vermeide 'unsafe-inline' und 'unsafe-eval' – sie hebeln den Schutz weitgehend aus. Nutze stattdessen Nonces oder Hashes für nötige Inline-Skripte.

X-Frame-Options

Bewirkt: Verhindert, dass deine Seite in einen Frame/iframe fremder Seiten eingebettet wird (Clickjacking-Schutz).
Empfohlen: X-Frame-Options: DENY
Risiko ohne: Deine Seite kann unsichtbar überlagert werden, um Klicks der Nutzer abzufangen. Moderner Ersatz: frame-ancestors in der CSP.

X-Content-Type-Options

Bewirkt: Unterbindet das „MIME-Sniffing“, bei dem der Browser den Dateityp errät, statt dem gesendeten Content-Type zu vertrauen.
Empfohlen: X-Content-Type-Options: nosniff
Risiko ohne: Hochgeladene Inhalte könnten als ausführbares Skript fehlinterpretiert werden.

Referrer-Policy

Bewirkt: Steuert, wie viel der Herkunfts-URL beim Klick auf externe Links weitergegeben wird.
Empfohlen: Referrer-Policy: strict-origin-when-cross-origin
Risiko ohne: Vollständige URLs – samt evtl. enthaltener Tokens oder interner Pfade – landen bei fremden Servern.

Permissions-Policy

Bewirkt: Schaltet Browser-Funktionen wie Kamera, Mikrofon oder Standort gezielt ab, wenn deine Seite sie nicht braucht.
Empfohlen: Permissions-Policy: geolocation=(), camera=(), microphone=()
Risiko ohne: Eingebettete Drittinhalte oder eingeschleuster Code könnten auf sensible Gerätefunktionen zugreifen.

Best Practices

  • Setze die Header zentral am Webserver oder Reverse-Proxy, damit sie für alle Routen gelten.
  • Rolle CSP zunächst im Content-Security-Policy-Report-Only-Modus aus und werte die Verstöße aus, bevor du erzwingst.
  • Verzichte auf den veralteten X-XSS-Protection-Header – eine gute CSP ersetzt ihn.
  • Ergänze eine security.txt, damit Forschende Schwachstellen einfach an dich melden können.

Prüfe deine Konfiguration nach jeder Änderung erneut mit dem Header-Scan – ein einziger Tippfehler kann einen Header wirkungslos machen.