Skip to content

Welche HTTP-Antwort-Header verbessern die Sicherheit?

Kurzantwort

Zu den wichtigsten Sicherheits-Headern zählen Strict-Transport-Security (erzwingt HTTPS, blockiert SSL-Stripping), Content-Security-Policy (begrenzt Skriptquellen, mildert XSS), X-Frame-Options oder CSP frame-ancestors (blockiert Clickjacking), X-Content-Type-Options: nosniff (stoppt MIME-Sniffing) und Referrer-Policy (steuert das Durchsickern des Referrers). Jeder adressiert eine bestimmte Angriffsklasse.

Sicherheits-Antwort-Header sind günstige Maßnahmen mit großer Hebelwirkung: Der Server weist den Browser an, sichereres Verhalten durchzusetzen, ohne Änderungen an der Anwendungslogik. Jeder schließt eine bestimmte Lücke.

Die Header, die zählen

  • Strict-Transport-Security (HSTS). max-age=63072000; includeSubDomains weist den Browser an, sich nur noch über HTTPS mit diesem Host zu verbinden, selbst wenn der Nutzer http:// eingibt oder auf einen HTTP-Link klickt. Das vereitelt SSL-Stripping-Man-in-the-Middle-Angriffe, die die Verbindung herabstufen. Die Preload-Liste des Browsers verankert dies schon vor dem ersten Besuch — wirkungsvoll, aber schwer rückgängig zu machen, also konfiguriere es richtig.
  • Content-Security-Policy. Schränkt ein, woher Skripte und andere Ressourcen geladen werden; die stärkste header-basierte XSS-Maßnahme (separat ausführlich behandelt).
  • X-Frame-Options / CSP frame-ancestors. Steuert, wer deine Seite in ein <iframe> einbetten darf, und vereitelt Clickjacking (das Überlagern deiner Oberfläche unter einem Lockvogel). frame-ancestors ist der moderne, flexiblere Ersatz.
  • X-Content-Type-Options: nosniff. Hindert den Browser daran, eine Antwort per MIME-Sniffing in einen anderen Inhaltstyp umzudeuten. Ohne ihn könnte eine als Text ausgelieferte Datei als ausführbares Skript interpretiert werden — und ein harmloser Upload zu Stored XSS werden.
  • Referrer-Policy. Begrenzt, wie viel der URL im Referer-Header an andere Websites gesendet wird, und verhindert das Durchsickern sensibler Tokens oder interner Pfade.
  • Permissions-Policy. Deaktiviert mächtige Browser-Funktionen (Kamera, Geolokalisierung), die die Anwendung nicht braucht, und verkleinert die Angriffsfläche.

Was zu entfernen ist

Genauso wichtig: informationspreisgebende Header wie Server und X-Powered-By entfernen, die Angreifern deinen genauen Stack und dessen Version verraten.

Warum Header Defense in Depth sind

Sie beheben keinen verwundbaren Code; sie verringern Ausnutzbarkeit und Schadensradius über die gesamte Website auf einmal.

Prüfer achten darauf, dass du mehrere Header nennst und vor allem den konkreten Angriff, den jeder verhindert — HSTS/SSL-Strip, X-Frame-Options/Clickjacking, nosniff/MIME-Sniffing — statt nur Namen aufzuzählen.

Wahrscheinliche Anschlussfragen

  • Was bewirkt die HSTS-Preload-Liste und worin besteht das Risiko, sie falsch zu konfigurieren?
  • Wie verhindert X-Content-Type-Options: nosniff einen Angriff?
  • Warum wird frame-ancestors in der CSP gegenüber X-Frame-Options bevorzugt?

Quellen

Erhalte 100 Cybersecurity-Interviewfragen + Antworten

Gib deine E-Mail-Adresse ein und wir senden dir das kostenlose PDF-Paket und das Flashcard-Deck.

Kein Spam. Jederzeit abbestellbar.