AISeenTry Free
Try Free
Zurück zum Blog
SecurityHeadersOWASP

HTTP-Sicherheits-Header: Der vollständige Leitfaden 2026

Fehlende Sicherheitsheader sind eine der häufigsten Website-Schwachstellen. Erfahren Sie, was jeder Header bewirkt, warum er wichtig ist und wie Sie ihn in unter 5 Minuten hinzufügen.

A
AISeen Team
··8 Min. read

HTTP-Sicherheitsheader sind einzeilige Serverkonfigurationen, die Browser anweisen, wie der Inhalt Ihrer Website behandelt werden soll. Sie verhindern eine Vielzahl von Angriffen — von Clickjacking bis Cross-Site-Scripting — ohne Änderungen am Anwendungscode.

Die sechs kritischen Header

1. Content-Security-Policy (CSP)

CSP ist der leistungsfähigste Header zur Verhinderung von XSS-Angriffen. Er definiert eine Whitelist von Quellen, aus denen Skripte, Stile und andere Ressourcen geladen werden können.

Beginnen Sie mit einer Report-Only-Richtlinie, um Verstöße zu überwachen, bevor Sie sie durchsetzen:

Content-Security-Policy-Report-Only: default-src 'self'; script-src 'self' https://cdn.example.com; report-uri /csp-violations

2. Strict-Transport-Security (HSTS)

HSTS zwingt Browser, HTTPS für alle zukünftigen Anfragen zu verwenden, auch wenn der Nutzer http:// eingibt.

Strict-Transport-Security: max-age=31536000; includeSubDomains; preload

3. X-Frame-Options / frame-ancestors

Verhindert, dass Ihre Seiten in iframes auf anderen Websites eingebettet werden (Clickjacking). Die moderne CSP-Direktive frame-ancestors ersetzt den älteren X-Frame-Options-Header.

4. X-Content-Type-Options

Stoppt MIME-Sniffing durch den Browser. Eine Zeile, maximaler Schutz:

X-Content-Type-Options: nosniff

5. Referrer-Policy

Steuert, wie viele Referrer-Informationen in ausgehende Anfragen einbezogen werden. strict-origin-when-cross-origin ist die empfohlene Standardeinstellung.

6. Permissions-Policy

Schränkt den Zugriff auf Browser-APIs (Kamera, Mikrofon, Geolocation) ein. Selbst wenn Sie diese APIs nicht verwenden, verhindert die Einschränkung deren Missbrauch durch Drittanbieter-Skripte.

Wie AISeen Ihre Header prüft

AISeen Security Score prüft alle sechs kritischen Header sowie HTTPS-Konfiguration, Cookie-Flags und Informationslecks (z.B. Server-Versionspreisgabe in Antwort-Headern).

Frequently Asked Questions

Wie füge ich Sicherheitsheader in Next.js hinzu?
Fügen Sie eine headers()-Funktion zu next.config.js hinzu. Die Funktion gibt ein Array von Header-Objekten zurück, jedes mit einem Quellmuster und einem Array von {key, value}-Paaren. Vercel-Deployments unterstützen auch das Hinzufügen von Headern über vercel.json.
Bricht das Hinzufügen einer CSP meine Website?
Eine strenge CSP kann Inline-Skripte und -Stile blockieren. Verwenden Sie zuerst Content-Security-Policy-Report-Only, um Verstöße zu überwachen, ohne etwas zu brechen, und verschärfen Sie dann schrittweise die Richtlinie.
Was betrachtet AISeen Security Score als kritisch?
HTTPS-Präsenz, HSTS und X-Content-Type-Options sind als Kritisch markiert. CSP, X-Frame-Options und Permissions-Policy sind Hoch. Informationslecks (Server-Header-Preisgabe) sind Mittel.

Check your site's scores now

SEO, GEO, Security, Speed & more — free audit in under 30 seconds.

Audit your site free →

Related articles

GEO

Was ist der GEO Score und warum ist er 2026 wichtig

·5 Min. read
Speed

Core Web Vitals Checkliste: Geschwindigkeitsoptimierung 2026

·7 Min. read