ITrig

Der Header zählt zu den interessanteren Informationen eines Webservers, bleibt dem Otto-Normal-Surfer aber meist verborgen.

Über ihn lassen sich nicht nur Informationen über den laufenden Server erfahren, mit Hilfe des Headers können auch zusätzliche Sicherheitsmechanismen aktiviert werden, sogenannte "Security-related HTTP Headers". Sie werden im Feld "Content-Security-Policy" übermittelt.

Diese Funktionen dienen unter anderem dem Schutz vor Cross Site Scripting (XSS), aber auch der erhöhten Sicherheit, wie beispielsweise HTTP Strict Transport Security (HSTS).

Das Open Web Application Security Project listet die wichtigsten davon auf .

Die Webseite securityheaders.io überprüft genau diese Sicherheitseinstellungen auf Aktivität. Sie vergibt dabei Bewertungen, je nach Einsatz, von A+ (sehr gut) bis F (sehr schlecht).

Der Aufbau erinnert an den bekannten TLS-Online-Server-Test von SSLLabs, denn sogar das Feld "Hide Results" (Ergebnisse des Scans verstecken) wurde übernommen. Hier darf der Haken gerne gesetzt werden.

Eine weiteres Ergebnis außerhalb des Scorings ist R. Dies bedeutet, dass die untersuchte Webseite weitergeleitet wird.

Fazit

Als Ergänzung zum Online-Test von SSLLabs oder vergleichbaren Tools wie SSLyze bietet securityheaders.io eine zusätzliche Möglichkeit Webserver auf ihre Sicherheitseinstellungen zu überprüfen.