Welche HTTP-Antwort-Header verbessern die Sicherheit?
Kurzantwort
Zu den wichtigsten Sicherheits-Headern zählen Strict-Transport-Security (erzwingt HTTPS, blockiert SSL-Stripping), Content-Security-Policy (begrenzt Skriptquellen, mildert XSS), X-Frame-Options oder CSP frame-ancestors (blockiert Clickjacking), X-Content-Type-Options: nosniff (stoppt MIME-Sniffing) und Referrer-Policy (steuert das Durchsickern des Referrers). Jeder adressiert eine bestimmte Angriffsklasse.
Sicherheits-Antwort-Header sind günstige Maßnahmen mit großer Hebelwirkung: Der Server weist den Browser an, sichereres Verhalten durchzusetzen, ohne Änderungen an der Anwendungslogik. Jeder schließt eine bestimmte Lücke.
Die Header, die zählen
- Strict-Transport-Security (HSTS).
max-age=63072000; includeSubDomainsweist den Browser an, sich nur noch über HTTPS mit diesem Host zu verbinden, selbst wenn der Nutzerhttp://eingibt oder auf einen HTTP-Link klickt. Das vereitelt SSL-Stripping-Man-in-the-Middle-Angriffe, die die Verbindung herabstufen. Die Preload-Liste des Browsers verankert dies schon vor dem ersten Besuch — wirkungsvoll, aber schwer rückgängig zu machen, also konfiguriere es richtig. - Content-Security-Policy. Schränkt ein, woher Skripte und andere Ressourcen geladen werden; die stärkste header-basierte XSS-Maßnahme (separat ausführlich behandelt).
- X-Frame-Options / CSP
frame-ancestors. Steuert, wer deine Seite in ein<iframe>einbetten darf, und vereitelt Clickjacking (das Überlagern deiner Oberfläche unter einem Lockvogel).frame-ancestorsist der moderne, flexiblere Ersatz. - X-Content-Type-Options: nosniff. Hindert den Browser daran, eine Antwort per MIME-Sniffing in einen anderen Inhaltstyp umzudeuten. Ohne ihn könnte eine als Text ausgelieferte Datei als ausführbares Skript interpretiert werden — und ein harmloser Upload zu Stored XSS werden.
- Referrer-Policy. Begrenzt, wie viel der URL im
Referer-Header an andere Websites gesendet wird, und verhindert das Durchsickern sensibler Tokens oder interner Pfade. - Permissions-Policy. Deaktiviert mächtige Browser-Funktionen (Kamera, Geolokalisierung), die die Anwendung nicht braucht, und verkleinert die Angriffsfläche.
Was zu entfernen ist
Genauso wichtig: informationspreisgebende Header wie Server und X-Powered-By entfernen, die Angreifern deinen genauen Stack und dessen Version verraten.
Warum Header Defense in Depth sind
Sie beheben keinen verwundbaren Code; sie verringern Ausnutzbarkeit und Schadensradius über die gesamte Website auf einmal.
Prüfer achten darauf, dass du mehrere Header nennst und vor allem den konkreten Angriff, den jeder verhindert — HSTS/SSL-Strip, X-Frame-Options/Clickjacking, nosniff/MIME-Sniffing — statt nur Namen aufzuzählen.
Wahrscheinliche Anschlussfragen
- Was bewirkt die HSTS-Preload-Liste und worin besteht das Risiko, sie falsch zu konfigurieren?
- Wie verhindert X-Content-Type-Options: nosniff einen Angriff?
- Warum wird frame-ancestors in der CSP gegenüber X-Frame-Options bevorzugt?