Headers auf OWASP-Empfehlungen prüfen

Das HTTPHeaderCheck-Tool auf binsec.tools ist ein kostenloses Online-Tool, das entwickelt wurde, um die HTTP-Sicherheitsheader einer Website zu überprüfen. Dabei orientiert es sich an den Best Practices des OWASP (Open Web Application Security Project). Es bewertet das Vorhandensein und die Konfiguration verschiedener HTTP-Header, die für die Websicherheit wichtig sind.

• Strict-Transport-Security (HSTS): Erzwingt sichere (HTTPS-)Verbindungen zum Server.
• X-Frame-Options: Schützt vor Clickjacking, indem gesteuert wird, ob die Seite in einem Frame eingebettet werden darf.
• X-Content-Type-Options: Verhindert MIME-Typ-Sniffing.
• Content-Security-Policy (CSP): Hilft, bestimmte Arten von Angriffen – einschließlich Cross Site Scripting (XSS) – zu erkennen und zu verhindern.
• X-Permitted-Cross-Domain-Policies: Beschränkt das Laden von Daten durch Adobe Flash und Acrobat.
• Referrer-Policy: Bestimmt, welche Referrer-Informationen bei Anfragen mitgesendet werden sollen.
• Cross-Origin Resource Sharing (CORS) Header: Umfasst Header wie Cross-Origin-Resource-Policy, Cross-Origin-Embedder-Policy und Cross-Origin-Opener-Policy, um die gemeinsame Nutzung von Ressourcen zwischen verschiedenen Ursprüngen zu verwalten.
• Cache-Control: Steuert das Caching-Verhalten in Browsern.
• Veraltete Header-Erkennung: Das Tool erkennt veraltete Header wie Feature-Policy, Expect-CT, Public-Key-Pins, X-XSS-Protection und Pragma und rät davon ab, diese in modernen Webanwendungen zu verwenden.