Security-Header sind spezielle HTTP-Antworten, die dein Server an den Browser sendet – und damit klare Sicherheitsregeln für den Umgang mit deiner Website definieren. Still, aber wirkungsvoll.
Das machen Security-Header so wichtig
Die meisten Menschen verbinden Websicherheit mit Dingen wie SSL-Zertifikaten, sicheren Passwörtern oder Firewalls. Aber es gibt eine stille Schutzschicht, die oft übersehen wird – obwohl sie bei jedem Seitenaufruf mitläuft: HTTP Security-Header.
Diese Header geben dem Browser ganz konkrete Anweisungen. Zum Beispiel:
- ob eine Seite nur über HTTPS geladen werden darf (HSTS)
- ob fremde Skripte erlaubt sind (CSP)
- ob andere Seiten Inhalte einbetten dürfen (X-Frame-Options)
- oder ob ein geöffnetes Fenster zurück auf die Seite zugreifen darf (COOP)
Sie wirken wie unsichtbare Schutzschilde, die Angriffe verhindern, bevor sie überhaupt passieren – und das ganz ohne zusätzliches Plugin oder JavaScript.
Beispiele für wichtige Security-Header
| Header | Funktion |
|---|---|
| HSTS | Erzwingt HTTPS-Verbindungen |
| CSP | Steuert, welche Inhalte geladen werden dürfen |
| X-Frame-Options | Verhindert Clickjacking durch Einbettung |
| COOP / COEP / CORP | Isolieren Browser-Kontexte gegeneinander |
| Referrer-Policy | Regelt, welche Referrer-Infos beim Klick auf einen Link mitgeschickt werden |
| Permissions-Policy | Schränkt Browser-APIs wie Kamera oder Geolocation gezielt ein |
Vorteile von Security-Headern
- Keine Zusatzsoftware nötig – reine Serverkonfiguration
- Unterstützt von allen modernen Browsern
- Erhöht die Sicherheit deutlich mit wenig Aufwand
- Positiver Effekt auf Datenschutz, Vertrauen und SEO
Aber Achtung...
Security-Header sind mächtig – aber auch sensibel. Eine falsch gesetzte Content-Security-Policy kann z. B. Fonts, Skripte oder dein Cookie-Banner blockieren. Deshalb gilt:
Nicht blind übernehmen, sondern gezielt konfigurieren – oder mit jemandem zusammen, der sich auskennt.