Das Problem
Die meisten Website-Betreiber kuemmern sich um SSL-Zertifikate — das gruene Schloss im Browser kennt jeder. Aber Security-Headers sind mindestens genauso wichtig und werden fast immer vergessen.
Security-Headers sind HTTP-Antwort-Headers die dem Browser sagen, wie er sich verhalten soll. Zum Beispiel: "Lade keine Scripte von fremden Domains" (Content-Security-Policy) oder "Erlaube kein Einbetten in Iframes" (X-Frame-Options).
Was wir geprueft haben
Wir haben 10.000 deutsche Websites mit unserem Header-Security-Scorer geprueft. Die Ergebnisse:
Content-Security-Policy (CSP): Nur 12% der Websites haben eine CSP gesetzt. Ohne CSP ist eine Website anfaellig fuer Cross-Site-Scripting (XSS) Angriffe.
Strict-Transport-Security (HSTS): 41% haben HSTS gesetzt, aber nur 23% mit includeSubDomains und ausreichendem max-age.
X-Frame-Options: 38% haben diesen Header. Ohne ihn kann deine Website in einem Iframe auf einer Phishing-Seite eingebettet werden (Clickjacking).
X-Content-Type-Options: 29% haben nosniff gesetzt. Ohne diesen Header kann der Browser MIME-Types erraten und schaedlichen Code ausfuehren.
Der Fix dauert 5 Minuten
Das Frustrierende: alle diese Headers sind in 5 Minuten konfiguriert. Eine Zeile in der Nginx- oder Apache-Config pro Header.
Fuer Nginx:
`
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload";
add_header Content-Security-Policy "default-src 'self'; script-src 'self'; style-src 'self' 'unsafe-inline'";
add_header X-Frame-Options "DENY";
add_header X-Content-Type-Options "nosniff";
add_header Referrer-Policy "strict-origin-when-cross-origin";
add_header Permissions-Policy "camera=(), microphone=(), geolocation=()";
`
Fuer Apache (.htaccess):
`
Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"
Header always set Content-Security-Policy "default-src 'self'"
Header always set X-Frame-Options "DENY"
Header always set X-Content-Type-Options "nosniff"
`
Pruefe deine Website jetzt
Unser Header-Security-Scorer prueft alle 6 kritischen Headers und gibt dir fuer jeden fehlenden Header den exakten Wert als Copy-Paste. Kostenlos, ohne Login.