Security Headers Audit
HTTP-Security-Header einer URL prüfen und scoren: HSTS, CSP, X-Frame-Options, Permissions-Policy, Cross-Origin-Header und mehr.
Methodik & Funktionsweise
Was wird geprueft?
Bewertet die HTTP-Security-Header einer URL und liefert ein Score (0-100) plus Grade (A+ bis F).
Wie funktioniert es?
HTTP-GET (mit Redirect-Follow) und Bewertung der wichtigsten Header: Strict-Transport-Security (max-age, includeSubDomains, preload), Content-Security-Policy (default-src, frame-ancestors, unsafe-inline/eval-Penalty), X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, Cross-Origin-Opener/Resource-Policy, Server-Disclosure. Score ist gewichtet (CSP=25, HSTS=20, XFO=10, …). Grade nach Schulnoten-Logik: 95+=A+, 85+=A, 75+=B, 65+=C, 50+=D, sonst F.
Beispiel-Ergebnis
https://google.com → Grade F (Score 13/100) — fehlende HSTS, CSP, X-Content-Type-Options
Hinweise
X-Frame-Options wird vergeben, wenn CSP frame-ancestors gesetzt ist (RFC-Übersteuerung). Server-Header ohne Versionsnummer = neutral, mit Version = Punkt-Abzug.