Dieses Tool auditiert die Sicherheits-Compliance von HTTP-Antwort-Headern, indem es die von Ihnen eingefügten Roh-Header analysiert — es stellt nie eine Netzwerkanfrage, funktioniert also für interne/behindert-auth/CORS-eingeschränkte Sites, CI-Artefakte oder Doku-Beispiele.
Worüber es sich vom HTTP Headers Analyzer unterscheidet: jenes Tool holt eine URL live und prüft nur die Präsenz des Headers (boolsch). Dieses macht tiefe Wertebenen-Prüfungen über ein volleres Set.
Was es prüft (12 Header, Wertebene):
- Kritisch (fehlt oder falsch = hohes Risiko): HSTS (max-age ≥ 31536000, includeSubDomains, preload), Content-Security-Policy (ohne unsafe-inline/unsafe-eval/Wildcard, mit default-src oder script-src), X-Content-Type-Options (muss nosniff sein).
- Warnung (empfohlen): X-Frame-Options (DENY/SAMEORIGIN; merkt an, dass CSP frame-ancestors es ablöst), Referrer-Policy (nicht unsafe-url/no-referrer-when-downgrade), Permissions-Policy.
- Info (zusätzliche Isolationshärtung): Cross-Origin-Opener-Policy, Cross-Origin-Embedder-Policy, Cross-Origin-Resource-Policy, X-Permitted-Cross-Domain-Policies, Clear-Site-Data, Cache-Control.
Eingabeformat: rohe HTTP-Antwort-Header — ein Name: Wert pro Zeile, wie von curl -I, der DevTools-Network-Tab oder HTTP-Dumps. Statuszeilen (HTTP/1.1 200 OK) und Leerzeilen werden automatisch übersprungen.
Bewertung (Abzug von 100): −20 pro kritisch, −8 pro Warnung. Buchstabennote von A+ bis F. Jeder Befund zeigt den aktuellen Wert, was falsch ist, und einen kopierfertigen empfohlenen Header-Wert.
Dieses Tool inspiziert nur Security-Header — keine Informations-Offenlegungs-Header (Server/X-Powered-By) oder Cookie-Attribute. Nutzen Sie es, um die Header-Postur einer Site vor dem Deployment zu härten.