Ihre Eingaben werden nicht gespeichert. Hinweise zu Datenschutz & Haftung
Verbleibende Abfragen: 25 von 25
Was prüft der HTTP Header Check?
Der Check analysiert die HTTP-Response-Header einer Website und bewertet sie in mehreren Kategorien. Die Gesamtnote reicht von A (HTTPS aktiv, alle empfohlenen Security-Header vorhanden) bis F (kein HTTPS).
Security-Header
Security-Header schützen vor gängigen Angriffen wie Clickjacking, Cross-Site-Scripting (XSS) und MIME-Sniffing. Das Tool prüft, ob Strict-Transport-Security (HSTS), Content-Security-Policy (CSP), X-Frame-Options, X-Content-Type-Options, Referrer-Policy und Permissions-Policy gesetzt sind. Zusätzlich erkennt es, ob der Server unnötige Informationen wie Software-Versionen preisgibt (Server, X-Powered-By).
SSL/TLS und Zertifikat
Das Tool prüft das SSL/TLS-Zertifikat der Website: Aussteller, Gültigkeitszeitraum, Schlüsseltyp und -länge, Signatur-Algorithmus sowie die verwendete TLS-Version. Auch die im Zertifikat hinterlegten Domainnamen (Subject Alternative Names) werden angezeigt – so sehen Sie, für welche Domains das Zertifikat tatsächlich gilt.
Caching, Komprimierung und Performance
Caching-Header wie Cache-Control, Expires, ETag und Last-Modified steuern, wie Browser und Proxies mit Inhalten umgehen. Das Tool prüft, ob diese Header gesetzt sind und ob die Antwort komprimiert übertragen wird (Content-Encoding). Zusätzlich wird die Antwortzeit aufgeschlüsselt: DNS-Lookup, TCP-Verbindung, TLS-Handshake und Time-to-First-Byte (TTFB).
Cookies, CORS und SEO-Header
Alle gesetzten Cookies werden auf Sicherheitsattribute geprüft: Secure (nur HTTPS), HttpOnly (kein JavaScript-Zugriff) und SameSite (CSRF-Schutz). CORS-Header zeigen, welche fremden Domains auf Ressourcen zugreifen dürfen. SEO-relevante Header wie X-Robots-Tag, Content-Type und Content-Language beeinflussen, wie Suchmaschinen die Seite einordnen und indexieren.
Wann ist ein HTTP Header Check sinnvoll?
Vor dem Livegang oder Relaunch
Vor der Veröffentlichung einer neuen Website oder nach einem Relaunch sollten Sie prüfen, ob alle wichtigen Header korrekt gesetzt sind. Fehlende Security-Header, falsche Cache-Einstellungen oder ein abgelaufenes Zertifikat fallen sonst erst auf, wenn Nutzer oder Suchmaschinen betroffen sind.
Nach Server-, CDN- oder Sicherheitsänderungen
Änderungen an der Serverkonfiguration, ein CDN-Wechsel, Plugin-Updates oder eine SSL-Erneuerung können Header-Einstellungen unbemerkt verändern. Ein Check nach solchen Änderungen stellt sicher, dass keine wichtigen Header verloren gegangen oder überschrieben wurden.
Bei Problemen mit Cookies, CORS, Caching oder Indexierung
Wenn Cookies nicht gesetzt werden, API-Aufrufe von einer anderen Domain fehlschlagen, Inhalte nicht korrekt gecacht werden oder eine Seite unerwartet aus dem Google-Index verschwindet – in all diesen Fällen liefert ein Blick auf die HTTP-Header oft die Erklärung.
FAQ zum HTTP Header Check
Antworten auf häufig gestellte Fragen rund um HTTP-Header, Security-Header und dieses Tool.
Welche HTTP-Header sind für die Sicherheit einer Website besonders wichtig?
Die wichtigsten Security-Header sind Strict-Transport-Security (HSTS), Content-Security-Policy (CSP), X-Frame-Options, X-Content-Type-Options, Referrer-Policy und Permissions-Policy. Zusammen schützen sie vor gängigen Angriffen wie Clickjacking, Cross-Site-Scripting (XSS) und MIME-Sniffing.
Fehlen diese Header, ist die Website technisch angreifbarer – auch wenn HTTPS aktiv ist. Unser Tool prüft alle empfohlenen Security-Header und zeigt fehlende oder falsch konfigurierte Einträge direkt an.
Warum fehlen wichtige Security-Header trotz HTTPS?
HTTPS verschlüsselt die Verbindung, setzt aber keine Security-Header automatisch. Header wie HSTS, CSP oder X-Frame-Options müssen vom Webserver, CMS oder der Anwendung explizit gesetzt werden.
Viele Standard-Installationen von Apache, Nginx oder CMS wie WordPress liefern diese Header nicht von Haus aus mit. Sie müssen in der Serverkonfiguration, der .htaccess oder über ein Plugin ergänzt werden. Ein HTTPS-Zertifikat allein reicht für einen guten Sicherheitsstandard nicht aus.
Was sagen Cache-Control, Expires, ETag und Last-Modified über eine Website aus?
Diese Header steuern, wie Browser und Zwischenspeicher (Proxies, CDNs) mit den Inhalten umgehen. Cache-Control legt fest, ob und wie lange eine Ressource zwischengespeichert werden darf. Expires gibt ein konkretes Ablaufdatum an.
ETag und Last-Modified ermöglichen bedingte Anfragen: Der Browser fragt den Server, ob sich eine Ressource seit dem letzten Abruf geändert hat – und lädt sie nur bei Änderungen neu. Fehlen diese Header, wird bei jedem Aufruf alles neu übertragen, was die Ladezeit erhöht.
Warum sind Secure, HttpOnly und SameSite bei Cookies wichtig?
Secure stellt sicher, dass ein Cookie nur über HTTPS übertragen wird. HttpOnly verhindert, dass JavaScript auf das Cookie zugreifen kann – ein wichtiger Schutz gegen XSS-Angriffe. SameSite begrenzt, wann ein Cookie bei Cross-Site-Anfragen mitgesendet wird, und schützt so vor CSRF-Angriffen.
Fehlt eines dieser Attribute, kann das Cookie potenziell abgefangen, ausgelesen oder missbraucht werden. Unser Tool prüft alle gesetzten Cookies auf diese drei Attribute.
Welche Probleme können fehlerhafte CORS-Header verursachen?
CORS-Header (Cross-Origin Resource Sharing) regeln, welche fremden Domains auf Ressourcen Ihrer Website zugreifen dürfen. Ist CORS zu offen konfiguriert (z. B. Access-Control-Allow-Origin: *), können beliebige Websites Daten von Ihrem Server abrufen.
Ist CORS zu restriktiv oder fehlt, werden berechtigte API-Aufrufe oder Schriftarten von externen Quellen blockiert. Das kann dazu führen, dass eingebundene Dienste oder Frontend-Anwendungen nicht mehr korrekt funktionieren.
Welche HTTP-Header sind für SEO und Indexierung relevant?
Für Suchmaschinen sind vor allem X-Robots-Tag, Content-Type, Content-Language und der Canonical-Header relevant. Der X-Robots-Tag kann Seiten von der Indexierung ausschließen, ohne dass ein Meta-Tag im HTML nötig ist.
Content-Type und Content-Language helfen Suchmaschinen, Sprache und Format korrekt einzuordnen. Auch falsche Cache-Header oder fehlende Weiterleitungen können die Indexierung beeinflussen – etwa wenn eine 301-Weiterleitung fehlt und dieselbe Seite unter mehreren URLs erreichbar ist.
Warum unterscheiden sich HTTP-Header je nach URL, Subdomain oder Weiterleitung?
HTTP-Header werden pro Antwort gesetzt – und können sich je nach aufgerufener URL, Subdomain oder Weiterleitungskette unterscheiden. Eine Subdomain kann andere Servereinstellungen haben als die Hauptdomain, und Weiterleitungen durchlaufen oft mehrere Stationen mit unterschiedlichen Headern.
Auch CDNs, Load Balancer oder Reverse Proxies können Header hinzufügen, verändern oder entfernen. Prüfen Sie daher gezielt die URL, die Ihre Besucher tatsächlich aufrufen – nicht nur die Startseite.
Wann sollte man einen HTTP Header Check erneut durchführen?
Nach jeder Änderung an der Serverkonfiguration, dem Webserver, dem CMS, einem CDN oder nach einem Relaunch. Auch nach Plugin-Updates, SSL-Erneuerungen oder Änderungen an der .htaccess ist ein erneuter Check sinnvoll.
Header-Einstellungen können sich durch Updates oder Konfigurationsänderungen unbemerkt verändern. Ein regelmäßiger Check – etwa monatlich oder nach jedem Deployment – stellt sicher, dass keine wichtigen Header verloren gegangen sind.
Entdecken Sie unsere weiteren kostenlosen Online-Tools
Alle Tools anzeigenDatenschutz & Haftungsausschluss (Details anzeigen)(Details ausblenden)
Datenschutz bei diesem Tool: Ihre Eingaben werden ausschließlich zur Analyse verarbeitet und nicht gespeichert. Zur Ermittlung der Ergebnisse wird die eingegebene Domain bzw. IP-Adresse an externe Dienste weitergegeben, z. B. DNS-Server oder spezialisierte Prüfdienste. Zur Missbrauchsprävention wird ein anonymisierter Hash Ihrer IP-Adresse für 24 Stunden gespeichert — Ihre echte IP-Adresse wird dabei nicht erfasst. Es werden keine Tracking-Cookies gesetzt. Die Verarbeitung auf unserer Seite findet auf unseren Servern in Deutschland oder Europa statt. Weitere Informationen finden Sie in unserer Datenschutzerklärung.
Haftungsausschluss: Dieses Tool dient ausschließlich zu Informationszwecken. Die angezeigten Informationen werden in Echtzeit ermittelt. Zur Ermittlung der Informationen nutzen wir weltweit unterschiedliche Quellen, welche ausfallen, falsche Ergebnisse liefern oder auch nicht erreichbar sein können. Hierauf haben wir keinen Einfluss. Die Nutzung des Tools erfolgt auf eigene Verantwortung. Für die Richtigkeit und Vollständigkeit der Ergebnisse wird keine Gewähr übernommen. Die Haftung für Schäden oder Verluste, die aus der Verwendung, Speicherung oder Weitergabe der hier angezeigten Ergebnisse resultieren, wird im gesetzlich zulässigen Rahmen ausgeschlossen. Es besteht kein Anspruch auf Verfügbarkeit, Vollständigkeit oder Korrektheit des Tools oder des angezeigten Ergebnisses.