Web Security 2026-04-208 min read
Sicherheitsheader erklärt: CSP, HSTS, X-Frame-Options und mehr
HTTP-Sicherheitsheader sind die unsichtbare Verteidigungslinie Ihrer Website. Verstehen Sie, wie CSP, HSTS und Co. Ihre Website schützen.
HTTP-Sicherheitsheader sind die vielleicht am meisten unterschätzte Sicherheitsmaßnahme im Web. Sie kosten nichts und schützen vor häufigen Angriffen.
Die sechs wichtigsten Sicherheitsheader
1. Content-Security-Policy (CSP) CSP legt fest, welche Ressourcen Ihre Website laden darf. Es verhindert XSS und Code-Injection.
2. Strict-Transport-Security (HSTS) HSTS zwingt Browser, Ihre Website nur über HTTPS aufzurufen. Verhindert SSL-Stripping.
3. X-Frame-Options Verhindert das Einbetten Ihrer Website in fremde iframes. Schutz vor Clickjacking.
4. X-Content-Type-Options Stoppt MIME-Type-Sniffing und verhindert, dass Browser Dateitypen erraten.
5. Referrer-Policy Steuert, wie viele Informationen beim Klicken auf Links übermittelt werden.
6. Permissions-Policy Kontrolliert den Zugriff auf Kamera, Mikrofon und Standort im Browser.
Sicherheitsheader einrichten
Die Header werden serverseitig gesetzt — in der Webserver-Konfiguration oder in Ihrer Anwendungslogik.
Prüfen Sie Ihre Header mit unserem kostenlosen Security Header Checker.
Website jetzt prüfen
Nutzen Sie unsere kostenlosen Tools, um die Sicherheit Ihrer Website zu analysieren.
Trust Score ermitteln