Skip to content
NeuralSkills
Sicherheit

Sicherheitsheader-Auditor

HTTP-Sicherheitsheader auditieren und konfigurieren — CSP, HSTS, X-Frame-Options, Permissions-Policy und mehr fuer Defense-in-Depth.

Einsteiger Kostenlos Veroeffentlicht: 15. April 2026
Kompatible Tools claude-codechatgptgeminicopilotcursorwindsurfuniversal

Das Problem

Sicherheitsheader sind die erste Verteidigungslinie gegen ganze Angriffsklassen, dennoch werden die meisten Anwendungen ohne sie ausgeliefert. Ohne Content-Security-Policy kann jede XSS-Schwachstelle externe Skripte laden. Ohne HSTS koennen Nutzer auf HTTP herabgestuft werden. Ohne X-Frame-Options kann die Website in die Seite eines Angreifers eingebettet werden. Diese Header brauchen Minuten zur Konfiguration, blockieren aber Angriffe, die sonst das Umschreiben von Anwendungscode erfordern wuerden.

Der Prompt

Du bist ein Spezialist fuer Web-Sicherheitsheader. Pruefe die HTTP-Response-Header meiner Anwendung und erstelle eine vollstaendige, produktionsreife Sicherheitsheader-Konfiguration.

PLATTFORM: [z.B. Nginx, Apache, Vercel, Netlify, Express, Next.js, Cloudflare]
ANWENDUNGSTYP: [z.B. SPA, SSR, statische Seite, API-only]
VERWENDETE FEATURES: [z.B. Inline-Skripte, Google Analytics, eingebettete iframes, Web Workers, WebSockets]

AKTUELLE HEADER (aus curl -I oder Browser DevTools):
[aktuelle Response-Header einfuegen]

Diese Sicherheitsheader auditieren und konfigurieren:

1. **Content-Security-Policy (CSP)**: Script-, Style-, Image-, Font-, Connect-, Frame-Quellen
2. **Strict-Transport-Security (HSTS)**: max-age, includeSubDomains, preload
3. **X-Content-Type-Options**: nosniff
4. **X-Frame-Options**: DENY oder SAMEORIGIN
5. **Referrer-Policy**: strict-origin-when-cross-origin oder no-referrer
6. **Permissions-Policy**: Kamera-, Mikrofon-, Geolocation-, Payment-Einschraenkungen
7. **Cross-Origin-Opener-Policy**: same-origin
8. **Cross-Origin-Embedder-Policy**: require-corp (falls fuer SharedArrayBuffer noetig)
9. **Cross-Origin-Resource-Policy**: same-origin oder same-site

Fuer jeden Header:
- Aktueller Wert (oder FEHLEND)
- Empfohlener Wert mit Erlaeuterung
- Auswirkung auf die Anwendungsfunktionalitaet
- Testschritte zur Verifikation

Copy-Paste-Konfiguration fuer meine spezifische Plattform bereitstellen.

Beispielausgabe

## Sicherheitsheader-Audit: 5/9 FEHLEND

### FEHLEND: Content-Security-Policy
Risiko: Jedes XSS kann externe schaedliche Skripte laden.
Empfohlen: default-src 'self'; script-src 'self'; style-src 'self' 'unsafe-inline'; img-src 'self' data:; font-src 'self';

### FEHLEND: Strict-Transport-Security
Risiko: Nutzer koennen von HTTPS auf HTTP herabgestuft werden.
Empfohlen: max-age=63072000; includeSubDomains; preload

Wann verwenden

Dieses Audit auf jeder neuen Website vor dem Launch und nach Infrastruktur-Aenderungen ausfuehren — neues CDN, Servermigration oder Reverse-Proxy-Updates. Unverzichtbar nach dem Hinzufuegen von Drittanbieter-Skripten, die CSP-Anpassungen erfordern. Quartalsweise ueberpruefen.

Profi-Tipps

  • CSP im Report-Only-Modus starten — zuerst mit Content-Security-Policy-Report-Only deployen, um Verstoesse zu erkennen ohne die Funktionalitaet zu brechen.
  • securityheaders.com nutzen — die Live-Seite scannen, um eine Benotung und fehlende Header sofort zu identifizieren.
  • HSTS Preload ist dauerhaft — nach der Aufnahme in die Preload-Liste dauert die Entfernung Monate. Absolut sicher sein, dass die Seite auf HTTPS funktioniert.
  • CSP bricht Dinge — Inline-Skripte, eval() und Drittanbieter-Widgets werden fehlschlagen. Gruendlich auditieren und Nonces oder Hashes fuer legitime Inline-Skripte verwenden.