Überprüfen Sie die HTTP-Antwortheader und analysieren Sie die Sicherheitsheader jeder beliebigen Website.
Kopfzeilen prüfen
Was sind HTTP-Header?
HTTP-Header sind Metadaten, die bei jeder Anfrage und Antwort zwischen Browser und Server ausgetauscht werden. Sie steuern unter anderem das Caching, die Authentifizierung, den Inhaltstyp und Sicherheitsrichtlinien. Die Überprüfung der Header hilft bei der Diagnose von Leistungsproblemen und der Überprüfung der Sicherheitskonfigurationen.
So funktioniert dieses Tool
Geben Sie eine vollständig qualifizierte URL ein, und das Tool sendet über eine Xitoring-Edge-Funktion eine `HEAD`-Anfrage. Wir erfassen jeden Antwort-Header – einschließlich der sicherheitsrelevanten, die in den Entwicklertools Ihres Browsers möglicherweise ausgeblendet oder verborgen sind – und kategorisieren sie anschließend, sodass Sie auf einen Blick erkennen können, welche Schutzmaßnahmen vorhanden sind und welche fehlen. Das Tool verfolgt Weiterleitungen über bis zu drei Schritte, sodass eine URL wie `http://...` mit ihren endgültigen HTTPS-Headern angezeigt wird.
Wichtige Sicherheits-Header
Strict-Transport-Security — Erzwingt HTTPS-Verbindungen und verhindert Downgrade-Angriffe
Content-Security-Policy — Steuert, welche Ressourcen der Browser laden darf
X-Frame-Options — Verhindert Clickjacking durch Steuerung der Iframe-Einbettung
X-Content-Type-Options — Verhindert Angriffe durch MIME-Type-Sniffing
Referrer-Policy — Steuert, wie viele Referrer-Informationen mit Anfragen gesendet werden
Überwachen Sie die Verfügbarkeit und Leistung Ihrer Website
Überwachen Sie kontinuierlich HTTP-Status, Antwortzeiten und SSL-Zertifikate.
Wie dieses Tool funktioniert und was die Antwort-Header tatsächlich aussagen.
Leitet dieses Tool meine URL über die Server von Xitoring weiter?
Ja – die Anfrage wird über eine Xitoring-Edge-Funktion geleitet, sodass wir Header von außerhalb Ihres Netzwerks abrufen und eine bereinigte Antwort zurückgeben können, einschließlich CORS-beschränkter Endpunkte, die der Browser andernfalls blockieren würde. Wir protokollieren weder die URL noch den Inhalt der Antwort. Wenn Sie eine URL überprüfen möchten, die Sie lieber nicht an Dritte weitergeben möchten, verwenden Sie lokal den Befehl `curl -I `.
Warum fehlen auf meiner Website einige Sicherheits-Header?
Sicherheitsheader wie `Content-Security-Policy`, `Strict-Transport-Security` und `X-Frame-Options` sind optional – sie werden standardmäßig nicht gesetzt. Entweder muss Ihr Ursprungswebserver (Nginx, Apache, IIS) oder Ihr CDN (Cloudflare, Fastly, AWS CloudFront) so konfiguriert werden, dass diese hinzugefügt werden. Die Liste der fehlenden Header im Ergebnis zeigt Ihnen, welche hinzugefügt werden müssen und wogegen die einzelnen Header ungefähr schützen.
Sollte ich mir Sorgen machen, wenn meine Website keine Content-Security-Policy hat?
CSP ist die wirksamste Einzelmaßnahme zum Schutz vor Cross-Site-Scripting, aber auch der am schwierigsten korrekt zu implementierende Header, da er legitime Skripte beeinträchtigen kann. Wenn Ihre Website benutzergenerierte Inhalte lädt, Widgets von Drittanbietern einbettet oder Formularübermittlungen akzeptiert, sollten Sie CSP Priorität einräumen. Beginnen Sie im Modus `Content-Security-Policy-Report-Only`, erfassen Sie eine Woche lang Verstöße und wechseln Sie dann in den Durchsetzungsmodus.
Was ist der Unterschied zwischen HSTS und einer HTTP-zu-HTTPS-Weiterleitung?
Eine HTTPS-Weiterleitung erfolgt serverseitig – sie gibt einen 301- oder 308-Status zurück, sobald jemand zum ersten Mal `http://...` aufruft. Diese erste Anfrage wird jedoch weiterhin im Klartext übertragen und kann abgefangen werden. HSTS (`Strict-Transport-Security`) ist ein Header, der, sobald ein Browser ihn erkannt hat, jegliche Klartext-Anfragen an Ihre Domain verweigert – noch bevor der Benutzer `https://` eingibt. Die `preload`-Anweisung in Verbindung mit der Übermittlung an `hstspreload.org` fügt Ihre Domain in die Preload-Liste des Browsers ein, sodass bereits die allererste Verbindung gesichert ist.
Kann ich mit diesem Tool interne oder private URLs überprüfen?
Nur, wenn sie über das öffentliche Internet erreichbar sind. Der Abruf erfolgt serverseitig über unseren Edge-Server, daher funktionieren URLs hinter einem VPN, in einem privaten Netzwerk oder solche, die nur über `localhost` erreichbar sind, nicht. Für interne Dienste führen Sie `curl -I ` von einem Host innerhalb des Netzwerks aus oder nutzen Sie Xitorings [Website-Überwachung](https://xitoring.com/website-monitoring), die von einem privaten Knoten aus prüfen kann.
Warum weicht die Reaktionszeit von der in meinem Browser angezeigten ab?
Die angegebene Zeit misst eine einzelne `HEAD`-Anfrage von unserem Edge-Server zu Ihrem Server – sie setzt sich aus der Round-Trip-Zeit und der Zeit für die Generierung der Antwort-Header zusammen. Die Messung Ihres Browsers umfasst außerdem die DNS-Auflösung, den TLS-Handshake, den Download des gesamten Inhalts, die Ausführung von Skripten, die das Rendern blockieren, sowie alle dazwischenliegenden Weiterleitungen. Für echte Feldleistung verwenden Sie Real User Monitoring (RUM) oder Core Web Vitals über PageSpeed Insights; für synthetische Überprüfungen aus mehreren geografischen Regionen nutzen Sie die Website-Überwachung von Xitoring.