HTTP Security Header

Die meisten Website-Betreiber wissen: Eine moderne Website braucht ein SSL-Zertifikat, also die bekannte „HTTPS“-Verschlüsselung. Doch was viele nicht wissen – HTTPS allein reicht heute nicht mehr aus, um eine Website wirklich abzusichern.

Denn Angriffe wie Cross-Site-Scripting, Clickjacking oder Datenlecks passieren nicht über offensichtliche Einfallstore – sondern im Verborgenen. Die gute Nachricht: Es gibt eine einfache Möglichkeit, sich dagegen zu schützen. Die Lösung heißt: HTTP Security Header.

Diese kleinen „Sicherheitsregeln“ werden vom Webserver an den Browser gesendet und sorgen dafür, dass Ihre Website nur unter sicheren Bedingungen geladen und dargestellt wird. Viele Webseiten verzichten noch immer darauf – und öffnen damit Tür und Tor für Angreifer.

In diesem Beitrag zeigen wir Ihnen, was es mit HTTP Security Headern auf sich hat, welche Varianten es gibt und wie Sie Ihre Website damit besser schützen können. Ganz ohne Fachchinesisch – versprochen!

Was sind HTTP Security Header?

HTTP Security Header sind kleine Anweisungen, die Ihr Webserver beim Laden der Seite an den Browser sendet. Sie beeinflussen, wie der Browser mit bestimmten Inhalten umgeht – etwa mit Skripten, Formularen oder eingebetteten Inhalten.

Dadurch verhindern sie typische Sicherheitslücken wie:

• Cross-Site Scripting (XSS) – das Einschleusen von schädlichem Code
• Clickjacking – das „Überlagern“ von Klickbereichen
• MIME Sniffing – das falsche Interpretieren von Dateitypen
• Mitlesen von sensiblen Daten über unverschlüsselte oder falsch konfigurierte Seiten

Diese Header sind unsichtbar für Ihre Besucher – aber extrem wichtig für deren Sicherheit und für Ihr gutes Gefühl als Seitenbetreiber.

Die wichtigsten HTTP Security Header im Überblick

Strict-Transport-Security (HSTS)

Dieser Header sorgt dafür, dass Ihre Website ausschließlich über eine verschlüsselte HTTPS-Verbindung erreichbar ist – selbst wenn jemand in den Browser nur „http://…“ eintippt. Der Browser merkt sich: Diese Seite darf nur verschlüsselt aufgerufen werden.

Beispiel:

„Strict-Transport-Security: max-age=31536000; includeSubDomains; preload“

• max-age gibt an, wie lange der Browser sich diese Regel merken soll – hier: 1 Jahr.
• includeSubDomains schließt alle Subdomains mit ein (z. B. shop.ihredomain.de).
• preload sorgt dafür, dass Ihre Domain in eine zentrale Liste aufgenommen wird, die bereits in viele Browser integriert ist – ein zusätzlicher Schutzmechanismus.

Ohne HSTS könnte ein Angreifer versuchen, die Verbindung auf unsicheres HTTP „zurückzustufen“ (Downgrade Attack). HSTS verhindert genau das!

Content-Security-Policy (CSP)

Die Content-Security-Policy (CSP) ist ein sehr leistungsstarkes Mittel zur Abwehr von sogenannten XSS-Angriffen (Cross-Site Scripting). Dabei schleusen Angreifer Schadcode (z. B. JavaScript) in eine Website ein – etwa über ein Formular oder eine manipulierte Werbeanzeige.

Mit CSP legen Sie fest, welche externen Inhalte auf Ihrer Seite geladen werden dürfen. Alles andere wird blockiert.

Beispiel:

„Content-Security-Policy: default-src ’self‘; img-src *; script-src ’self'“

• ’self‘ bedeutet: Nur Inhalte vom eigenen Server sind erlaubt.
• img-src * erlaubt das Laden von Bildern von beliebigen Quellen.
• script-src ’self‘ erlaubt nur eigene Skripte – keine fremden.

CSP schiebt bösartigem Code einen Riegel vor – bevor er überhaupt ausgeführt werden kann. So schützen Sie sich und Ihre Besucher zuverlässig vor typischen Angriffen.

X-Content-Type-Options

Normalerweise verlässt sich der Browser auf die vom Server mitgelieferten MIME-Typen (z. B. „image/png“ oder „text/html“). Leider versuchen einige Browser, den Inhalt „zu erraten“, wenn der Typ fehlt oder fehlerhaft ist – was Sicherheitsprobleme verursachen kann.

Mit dem Header X-Content-Type-Options: nosniff wird dieses Verhalten unterbunden. Der Browser hält sich dann strikt an das, was der Server vorgibt.

Beispiel:

„X-Content-Type-Options: nosniff“

Angreifer können über falsch erkannte Dateitypen Schadcode einschleusen. Dieser einfache Header verhindert genau das – und gehört heute zum Sicherheitsstandard.

X-Frame-Options

Dieser Header schützt Ihre Website vor sogenannten Clickjacking-Angriffen. Dabei wird Ihre Seite in ein unsichtbares Fenster (iFrame) auf einer fremden Website eingebunden, über das der Nutzer dann ungewollt klickt – z. B. auf einen Bestell- oder Bestätigungsbutton.

Beispiel:

„X-Frame-Options: SAMEORIGIN“

SAMEORIGIN erlaubt das Einbetten nur, wenn es sich um dieselbe Domain handelt. Alternativ: DENY blockiert jede Einbettung, egal woher.

Besonders bei Login- oder Zahlungsseiten ein Muss. Der Nutzer sieht zwar Ihre Seite – klickt aber auf etwas völlig anderes.

Referrer-Policy

Immer wenn ein Besucher auf Ihrer Website einen Link anklickt, wird die sogenannte Referrer-URL (also die vorherige Seite) an die Zielseite übertragen. Das kann problematisch sein – besonders wenn darin sensible Daten (z. B. Suchbegriffe oder Session-IDs) enthalten sind.

Mit der Referrer-Policy können Sie steuern, wie viel Information weitergegeben wird – oder ob überhaupt etwas übermittelt wird.

Beispiel:

„Referrer-Policy: strict-origin-when-cross-origin“

Das bedeutet: Nur bei internen Links wird die komplette URL übermittelt. Bei externen nur die Domain – oder gar nichts, wenn es sich um einen unsicheren Link handelt.

Sie schützen damit die Privatsphäre Ihrer Besucher und vermeiden unbeabsichtigte Datenlecks.

Permissions-Policy

Früher bekannt als „Feature-Policy“, legt dieser Header fest, welche Browserfunktionen auf Ihrer Website genutzt werden dürfen – z. B. Kamera, Mikrofon, Standortdaten, Vollbildmodus etc.

Beispiel:

„Permissions-Policy: camera=(), microphone=(), geolocation=()“

• Mit () wird die jeweilige Funktion vollständig deaktiviert.
• Alternativ können Sie Funktionen für bestimmte Domains erlauben.

So stellen Sie sicher, dass Ihre Website nicht unerwünschte Funktionen anfragt oder freischaltet – was sowohl sicherheitsrelevant als auch DSGVO-relevant ist.

So prüfen Sie Ihre Website

Ob Ihre Seite bereits HTTP Security Header verwendet, können Sie ganz einfach selbst testen – z. B. mit diesen kostenlosen Tools:

https://securityheaders.com 🔗

https://observatory.mozilla.org 🔗

Diese Tools zeigen Ihnen direkt, welche Header aktiv sind – und welche fehlen.

Unser Angebot: Sicherheit professionell prüfen und umsetzen

Viele Website-Betreiber wissen gar nicht, ob ihre Seite wirklich sicher konfiguriert ist – oder ob Angreifer womöglich längst Schwachstellen ausnutzen könnten. HTTP Security Header sind ein zentraler Baustein der modernen Websicherheit, werden aber häufig übersehen oder nur unvollständig eingesetzt.

Bei Gajda Media prüfen wir Ihre Website gezielt auf Sicherheitslücken rund um Header und HTTPS-Konfiguration. Dabei gehen wir über bloße Online-Scans hinaus: Wir analysieren Ihre Serverantworten, identifizieren fehlende Header, prüfen bestehende Einstellungen und machen konkrete Vorschläge zur Verbesserung.

Unser Service beinhaltet:

• eine manuelle Auswertung der wichtigsten HTTP Security Header
• Hinweise auf weitere Schwachstellen im Zusammenhang mit HTTPS, Weiterleitungen oder Inhalten von Drittanbietern
• klare Handlungsempfehlungen, die zu Ihrer Website und Ihrer Technik passen
• auf Wunsch die vollständige technische Umsetzung der Sicherheitsmaßnahmen

Ob Sie Ihre Website selbst betreuen oder von einer Agentur betreuen lassen – wir liefern Ihnen eine fundierte Einschätzung, die Sie direkt nutzen können, um die Sicherheit spürbar zu erhöhen.

Sie möchten wissen, wie sicher Ihre Seite aktuell ist?
Dann nehmen Sie jetzt Kontakt mit uns auf – wir beraten Sie gern!