Startseite Über uns Kontakt Blog Ask AI
Dashboards +
On-Page SEO +
Technical SEO +
SERP & Content +
Local SEO +
Chrome Extension holen
Kostenloses Sicherheits-Tool

Security Headers Checker

Analysiere HTTP-Security-Headers, Server-Konfiguration und Redirect-Kette einer URL. Erhalte einen Security-Score mit konkreten Empfehlungen.

Zuletzt aktualisiert: März 2026

Was dieser Security-Headers-Checker prüft

Ein Security Headers Checker fängt die einfachsten Exploits, die Seiten am häufigsten übersehen. Kein HSTS? Nutzer können auf HTTP heruntergestuft werden. Kein CSP? Offen für XSS. Keine X-Frame-Options? Deine Seiten können in Phishing-Iframes eingebettet werden.

Dieser HSTS-Checker und CSP-Checker sendet einen HEAD-Request und prüft 10 Security-Header, jeweils gewichtet nach realer Auswirkung. CSP und HSTS zählen am meisten, weil sie die häufigsten Angriffsvektoren blockieren. Dazu bekommst du Server-Infos und einen 0-100 Sicherheits-Score mit konkreten Fix-Empfehlungen für jeden fehlenden Header.

Was sind Security Headers und warum sind sie wichtig?

Security Headers sind HTTP-Response-Header, die dem Browser sagen, wie er den Inhalt deiner Seite sicher behandeln soll. Sie erzwingen HTTPS, blockieren Cross-Origin-Framing, kontrollieren Script-Quellen und setzen eine Referrer-Policy. Im Gegensatz zu den meisten SEO-Problemen machen fehlende Security Headers deine Seite nicht langsamer und schaden den Rankings nicht direkt. Sie schaden dem Nutzervertrauen und deinen Audit-Scores bei jedem Security-Scanner.

Häufige Security-Header-Fehler

Dieselben Lücken tauchen auf den meisten Sites auf, die ich auditiere. HSTS ohne langen max-age oder ohne includeSubDomains gesetzt, was den Schutz größtenteils aushebelt. Eine CSP, die 'unsafe-inline' für Skripte erlaubt, was den Sinn einer CSP komplett zerstört. X-Content-Type-Options komplett fehlt, wodurch MIME-Sniffing offen bleibt. Und am häufigsten: gar keine Content-Security-Policy, weil sie einmal die Seite zerstört hat und niemand sich nochmal an die Konfiguration getraut hat.

OWASP-Empfehlungen für HTTP Security Headers

OWASP ist die autoritative Quelle für HTTP-Security-Header-Richtlinien. Das OWASP Secure Headers Project pflegt eine Referenzliste mit empfohlenen Werten für jeden Header. Die Top 5, die fast jede Site setzen sollte: Strict-Transport-Security mit einem max-age von mindestens einem Jahr, Content-Security-Policy mit einer strikten Source-Whitelist, X-Content-Type-Options: nosniff, X-Frame-Options: DENY oder SAMEORIGIN, und Referrer-Policy: strict-origin-when-cross-origin. Setzt du diese fünf korrekt, deckst du den Großteil dessen ab, was OWASP tatsächlich verlangt. Der Rest ist optionales Feintuning.

Weitere Tools entdecken

Tech Stack Detector

467 Technologien auf jeder Seite erkennen.

Meta Tag Analyzer

Vollständiger Meta-Tag-Audit für jede URL.

Crawler Access Checker

KI- und Suchcrawler-Zugriff prüfen.

PageSpeed Insights

Vollständiger Lighthouse-Audit mit Core Web Vitals.

Redirect Checker

Weiterleitungsketten mit Statuscodes verfolgen.

FAQ

Was ist HSTS?+
HTTP Strict Transport Security weist Browser an, nur über HTTPS zu verbinden. Ohne HSTS könnten Nutzer auf eine unsichere HTTP-Version deiner Seite umgeleitet werden.
Was ist Content-Security-Policy?+
CSP steuert, welche Ressourcen (Scripts, Styles, Bilder) auf deiner Seite geladen werden dürfen. Es ist die wichtigste Verteidigung gegen XSS-Angriffe.
Welchen Score sollte ich anstreben?+
Ein Score von 80+ ist gut. 90+ ist ausgezeichnet. Konzentriere dich zuerst auf HSTS, CSP und X-Content-Type-Options. Diese bieten die größten Sicherheitsverbesserungen.
Beeinflussen Security Headers das SEO?+
Indirekt, ja. Google betrachtet HTTPS als Ranking-Signal, und HSTS erzwingt HTTPS. Websites, die von Browsern als unsicher markiert werden, haben auch höhere Absprungraten, was Rankings beeinträchtigen kann. Starke Security Headers stärken das Nutzervertrauen und schützen den Ruf deiner Website.
Was ist der wichtigste Security Header?+
Content-Security-Policy (CSP) gilt allgemein als der wichtigste, weil er Cross-Site-Scripting-(XSS)-Angriffe verhindert. HSTS ist ein enger Zweiter, da er sichere HTTPS-Verbindungen erzwingt.
Security-Headers auf jeder Seite

Lumina prüft HTTP-Status, Security Headers und Server-Infos automatisch — kostenlos.

Lumina zu Chrome hinzufügen — Kostenlos