Zum Hauptinhalt springen
Anmelden
CaptainDNS

Propagation & Diagnose

Vergleichen Sie öffentliche Resolver und analysieren Sie die gelieferten Antworten.

E-Mail-Diagnose

Werkzeuge zur Überprüfung und Validierung Ihrer E-Mail-Authentifizierung.

SPF
DKIM
DMARC
DMARCbis
BIMI
MTA-STS
TLS-RPT
DANE / TLSA

Zustellbarkeit

E-Mail-Zustellbarkeits-AuditMail-Header-AnalyseE-Mail-TesterIP-Blacklist-PrüferDomain-Blacklist-PrüferSPF-FlattenerDKIM-Selektor-FinderSMTP/MX-Tester

Sichern & Überwachen

Datensatzgeneratoren, Richtlinien-Hosting und kontinuierliche Überwachung.

Netzwerk & Web

Netzwerktools, Webseitenanalyse und Zertifikate.

IP-Tools

Meine IP-Adresse

Ermitteln Sie Ihre IPv4/IPv6-Adressen und deren Geostandort.

Reverse-Lookup

Lösen Sie einen PTR-Eintrag auf und prüfen Sie die DNS-Konsistenz.

IP-WhoIs

Ermitteln Sie den Inhaber eines IP-Bereichs und seine Kontakte.

IPv4-Netzmaske

Berechnen Sie Netzwerk, Broadcast und nutzbare Hosts für jeden IPv4-Block.

IPv6-Subnetzrechner

Berechne IPv6-Subnetze, Adressbereiche und Reverse-DNS-Einträge.

Zertifikate & BIMI

BIMI-Logo-Inspektor

Analysieren Sie die URL eines BIMI-Logos, sein Format, Metadaten und Rendering.

BIMI SVG Converter

Konvertiere ein SVG in Sekunden ins BIMI-konforme Tiny-PS-Format.

CSR-Parser

Analysieren Sie einen CSR, lesen Sie Subject-Daten, Fingerprints und angeforderte SANs.

VMC-Inspektor

Prüfen Sie ein Verified Mark Certificate: ausstellende CA, Gültigkeit und SANs, bevor Sie BIMI veröffentlichen.

Web

Seitengewicht-Prüfer

Prüfe, ob deine Seite das 2-MB-Crawl-Limit von Google überschreitet.

Phishing-URL-Prüfer

Prüfe, ob eine URL als Phishing oder Malware von 4 Quellen gemeldet ist.

HTTP-Header-Viewer

Untersuche die HTTP-Header einer URL mit hervorgehobenen Sicherheits-Headern.

HSTS-Test

Analysiere die HSTS-Richtlinie einer Domain und ihren Status auf der Chromium-Preload-Liste.

Redirect Checker

HTTP-Weiterleitungsketten analysieren

Domain-Weiterleitung

Leiten Sie Ihre Domains mit automatischem HTTPS und 301/302-Weiterleitungen weiter.

HTTP-Uptime-Monitor

Überwachen Sie die Verfügbarkeit Ihrer Websites mit geplanten Checks und E-Mail-Alarmen.

Statusseiten

Veröffentlichen Sie eine öffentliche Statusseite mit Ihren HTTP-Monitoren.

Entwicklertools

Textwerkzeuge und Tools für den Entwickleralltag.

Text

Inhalte transformieren und messen in Sekunden.

Groß-/Kleinschreibung-Konverter

Wandeln Sie einen Textblock sofort in Klein- oder Großbuchstaben um.

Slug-Generator

Wandeln Sie jede Überschrift in wenigen Sekunden in einen SEO-freundlichen Slug um.

Wort- & Zeichenzähler

Zählt sofort, wie viele Wörter und Zeichen ein Text enthält.

Passwort-Generator

Erstelle starke Zufallspasswörter und einprägsame Passphrasen sofort.

Entwickler

Kodierung, Hashing, Regex und Formatierung fur den Entwickleralltag.

Base64-Encoder / -Decoder

Kodieren oder dekodieren Sie Inhalte als Base64 direkt im Browser.

Hash-Generator

Berechne MD5-, SHA-1-, SHA-256- und SHA-512-Hashes eines Textes.

URL-Encoder / -Decoder

Kodieren oder dekodieren Sie Text mit Percent-Encoding (RFC 3986) direkt im Browser.

Regex-Tester

Testen Sie einen regulären Ausdruck gegen Text und visualisieren Sie die Treffer.

JSON / YAML Formatierer

JSON und YAML formatieren, validieren und konvertieren - mit einem Klick.

HTTP-Header-Checker mit Sicherheits-Bewertung

Prüfe deine Sicherheits-HTTP-Header und erhalte eine Note von A bis F

Gib eine URL ein, um die vom Server zurückgegebenen HTTP-Header zu analysieren. Das Tool erkennt die 10 wesentlichen Security-Header (CSP, HSTS, X-Frame-Options usw.) und berechnet eine gewichtete Punktzahl mit einer Note von A bis F.

Warum solltest du deine Sicherheits-HTTP-Header analysieren?

Sicherheits-HTTP-Header bilden die erste Verteidigungslinie deiner Website auf der Browser-Seite. Ohne CSP, ohne HSTS, ohne X-Frame-Options überlässt du Angreifern Angriffsflächen, die moderne Standards schließen können. Ein regelmäßiger Website-Sicherheitstest erkennt diese Versäumnisse, bevor sie zu Vorfällen werden.

Unser Analyzer ruft die von deinem Server zurückgegebenen HTTP-Header ab, vergleicht sie mit den Empfehlungen von OWASP und Mozilla und berechnet eine gewichtete Punktzahl mit einer Note von A bis F. In 30 Sekunden erhältst du einen klaren Überblick über die zu behebenden Lücken.

Drei Haupteinsatzfälle:

  • Produktions-Audit: die Konfiguration der Security-Header vor der öffentlichen Freigabe validieren
  • Compliance-Tracking: ein PCI-DSS-, ISO-27001- oder SOC-2-Audit vorbereiten, das diese Kontrollen verlangt
  • Incident Response: prüfen, dass nach einem Server-Update kein kritischer HTTP-Header entfernt wurde

So nutzt du den Analyzer in 3 Schritten

Schritt 1: zu testende URL eingeben

Gib die vollständige zu analysierende URL ein, zum Beispiel https://captaindns.com. Das Tool akzeptiert öffentliche URLs über HTTPS oder HTTP und folgt bei Bedarf der ersten Weiterleitung.

Schritt 2: Header-Analyse starten

Klicke auf Header analysieren. Der Server führt eine GET-Anfrage an die URL durch, erfasst alle zurückgegebenen HTTP-Header und wendet die Scoring-Regeln auf die 10 überwachten Security-Header an.

Schritt 3: Note und Empfehlungen lesen

Du erhältst:

  • Die Note von A bis F und die Punktzahl von 100
  • Das Detail Header für Header mit Status vorhanden/fehlt
  • Die empfohlenen Werte für jeden fehlenden Header
  • Die erklärenden Tooltips zur Rolle jedes Headers

Was sind Sicherheits-HTTP-Header?

Ein HTTP-Header ist eine Metadaten-Zeile, die der Server zusätzlich zum Seiteninhalt sendet. Security-Header sind eine spezifische Familie von Headern, die das Browser-Verhalten steuern, um clientseitige Angriffe zu blockieren oder zu begrenzen.

Wenn dein Browser https://captaindns.com lädt, sendet der Server zuerst seine HTTP-Header vor dem HTML. Diese Header sagen zum Beispiel: 'Erzwinge HTTPS für ein Jahr' (HSTS), 'Führe nur Skripte von derselben Domain aus' (CSP) oder 'Verweigere die Anzeige in einem Iframe' (X-Frame-Options).

Beispiel für HTTP-Header, die von einer sicheren Website zurückgegeben werden:

HTTP/2 200
strict-transport-security: max-age=31536000; includeSubDomains; preload
content-security-policy: default-src 'self'; script-src 'self'
x-content-type-options: nosniff
x-frame-options: DENY
referrer-policy: strict-origin-when-cross-origin
permissions-policy: geolocation=(), microphone=()

Ohne diese Security-Header wendet der Browser viel permissivere Standardverhalten an, die aus den Anfängen des Webs stammen.

Die 10 analysierten Header und ihre Rolle

Das Tool bewertet 10 HTTP-Header, jeder mit einer Gewichtung, die seine Auswirkung auf die Sicherheitslage widerspiegelt.

HTTP-HeaderGewichtRolleBeispielwert
Strict-Transport-Security2.0Erzwingt HTTPS und verhindert sslstripmax-age=31536000; includeSubDomains; preload
Content-Security-Policy2.0Blockiert XSS und Skript-Injectiondefault-src 'self'; script-src 'self'
Content-Security-Policy-Report-Only0.5CSP im Beobachtungsmodus, ohne zu blockierendefault-src 'self'; report-uri /csp-report
X-Frame-Options1.0Verhindert Clickjacking via IframeDENY oder SAMEORIGIN
X-Content-Type-Options1.0Blockiert MIME-Sniffingnosniff
Referrer-Policy1.0Begrenzt URL-Leak via Refererstrict-origin-when-cross-origin
Permissions-Policy1.0Beschränkt Browser-APIs (Kamera, Mikrofon, Geolocation)geolocation=(), microphone=()
Cross-Origin-Opener-Policy1.0Isoliert den Browsing-Kontextsame-origin
Cross-Origin-Embedder-Policy1.0Steuert geladene Cross-Origin-Ressourcenrequire-corp
Cross-Origin-Resource-Policy1.0Definiert, wer deine Ressourcen laden darfsame-origin oder same-site

Maximale Gesamtpunktzahl: 11,5 Punkte. Die Punktzahl wird dann auf 100 skaliert, um die Endnote zu erzeugen.

Wie wird deine Note von A bis F berechnet?

Die Berechnung folgt einer einfachen und reproduzierbaren Logik.

Schritt 1: Roh-Punktzahl Jeder vorhandene und korrekt konfigurierte Header bringt seine volle Gewichtung. Ein Header, der vorhanden, aber falsch konfiguriert ist (z. B. HSTS mit zu kurzem max-age), bringt eine reduzierte Gewichtung. Die maximale Roh-Gesamtsumme beträgt 11,5 Punkte.

Schritt 2: Skalierung auf 100 Die Roh-Punktzahl wird per Dreisatz auf 100 skaliert: score = (roh / 11,5) × 100.

Schritt 3: Notenvergabe

NotePunktzahl von 100Interpretation
A>= 90Hervorragende Sicherheitslage, konform mit den Best-Practices 2026
B>= 75Gute Konfiguration, einige Header zu ergänzen
C>= 60Teilweise Konfiguration, kritische Header fehlen
D>= 40Schwache Sicherheitslage, mehrere Security-Header fehlen
F< 40Kein nennenswerter Schutz, dringende Maßnahmen empfohlen

Wichtig: HSTS und CSP machen zusammen 4 Punkte von 11,5 aus, also mehr als ein Drittel der Punktzahl. Ihr Fehlen senkt die Note mechanisch um mindestens zwei Stufen.

Konkrete Anwendungsfälle

Vorfall 1: Website nach Relaunch mit F bewertet

Symptom: nach Migration zu einem neuen Framework erhält die Website ein F, obwohl sie vor dem Relaunch ein B hatte.

Diagnose: der Analyzer enthüllt das Fehlen von CSP, HSTS und X-Frame-Options. Die Header wurden vom alten Nginx-Server hinzugefügt, beim Wechsel zu einem managed Hosting entfernt, das sie nicht standardmäßig enthält.

Maßnahme: die Security-Header in der neuen Framework-Konfiguration hinzufügen (next.config.js, Express-Middleware usw.) und die Analyse erneut starten, um die Rückkehr zur Note B oder A zu bestätigen.

Vorfall 2: Compliance-Audit blockiert

Symptom: der Auditor meldet das Fehlen von Security-Headern als Major Finding und blockiert die PCI-DSS-Zertifizierung.

Diagnose: der Website-Sicherheitstest bestätigt, dass HSTS fehlt, CSP fehlt, Referrer-Policy nicht definiert ist. Der Apache-Server liefert die Standardkonfiguration ohne Ergänzungen.

Maßnahme: die Header set-Direktiven im Apache-vhost konfigurieren, in Staging deployen, den Analyzer starten, um die Note zu prüfen, dann in Produktion pushen. Den Test erneut durchführen, um dem Auditor den konformen Bericht zu liefern.

Vorfall 3: Clickjacking im Bug-Bounty entdeckt

Symptom: ein Sicherheitsforscher meldet via Bug-Bounty, dass er das Kunden-Dashboard in einem bösartigen Iframe einbetten kann.

Diagnose: der Analyzer zeigt X-Frame-Options abwesend und CSP ohne frame-ancestors-Direktive. Der Browser erlaubt das Embedding daher standardmäßig.

Maßnahme: X-Frame-Options: DENY und frame-ancestors 'none' zur CSP hinzufügen. Die Analyse erneut starten, um die Schließung der Lücke zu bestätigen, und das Bug-Bounty-Ticket schließen.

FAQ - Häufig gestellte Fragen

F: Was ist ein HTTP-Header-Analyzer?

A: Ein HTTP-Header-Analyzer ist ein Tool, das die von einem Webserver bei einer Anfrage zurückgegebenen Header inspiziert. Es prüft das Vorhandensein und die Konfiguration von Security-Headern wie CSP, HSTS oder X-Frame-Options. Unser Analyzer ruft diese HTTP-Header ab, bewertet ihre Konformität mit den OWASP-Best-Practices und vergibt eine Note von A bis F. Das ist die Grundlage für einen vollständigen und schnellen Website-Sicherheitstest.

F: Welche Security-Header sind 2026 unverzichtbar?

A: Die kritischen Header in 2026 sind Content-Security-Policy (CSP) zum Blockieren nicht autorisierter Skripte, Strict-Transport-Security (HSTS) zum Erzwingen von HTTPS, X-Content-Type-Options zur Verhinderung von MIME-Sniffing, X-Frame-Options oder frame-ancestors CSP gegen Clickjacking und Referrer-Policy zur Begrenzung von URL-Leaks. Permissions-Policy und Cross-Origin-Opener-Policy ergänzen eine moderne Sicherheitslage. Ohne diese HTTP-Header bleibt deine Website bekannten Angriffen ausgesetzt.

F: Was ist der Unterschied zwischen CSP und HSTS?

A: CSP (Content-Security-Policy) steuert die erlaubten Quellen zum Laden von Skripten, Styles, Bildern oder Iframes. Es schützt vor XSS und Content-Injection. HSTS (Strict-Transport-Security) zwingt den Browser, die Website nur über HTTPS aufzurufen, und verhindert Downgrade-Angriffe. CSP wirkt auf der Inhaltsebene der Seite, HSTS auf der Transportebene. Beide HTTP-Header sind komplementär und unverzichtbar für eine hohe Sicherheits-Bewertung.

F: Wie füge ich meiner Website Security-Header hinzu?

A: Das hängt von deinem Stack ab:

  • Nginx: add_header-Direktiven im server-Block
  • Apache: Header set in .htaccess oder der vhost-Konfiguration
  • Cloudflare: Transform Rules oder Workers
  • Next.js: headers() in next.config.js
  • Express: helmet-Middleware
  • Laravel: dedizierte Middleware

Starte nach dem Deployment die Analyse erneut, um zu bestätigen, dass die HTTP-Header korrekt zurückgegeben werden.

F: Sind fehlende Security-Header eine Schwachstelle?

A: Fehlende Header sind keine direkte Schwachstelle, aber sie entfernen Verteidigungsschichten. Ohne CSP wird eine XSS-Lücke voll ausnutzbar. Ohne HSTS bleibt der Benutzer in feindlichen Netzwerken anfällig für sslstrip. Ohne X-Frame-Options kann deine Website für Clickjacking eingebettet werden. PCI-DSS-, ISO-27001- und SOC-2-Auditoren betrachten diese HTTP-Header als erwartete Sicherheitskontrollen.

F: Ist dieses Tool für den Website-Sicherheitstest kostenlos?

A: Ja, unser HTTP-Header-Analyzer ist vollständig kostenlos, ohne Registrierung oder Nutzungslimit. Starte beliebig viele Website-Sicherheitstests auf jeder öffentlichen URL. Die Ergebnisse umfassen die Note von A bis F, das Detail jedes analysierten Headers und Konfigurationsempfehlungen. Es werden keine Daten über die für die Berechnung der Punktzahl notwendige Zeit hinaus aufbewahrt.

Ergänzende Tools

ToolNutzen
Vollständiges On-Page-AuditHTML, SEO-Tags und Ressourcen einer Seite analysieren
HSTS-TestDen Strict-Transport-Security-Header und die Preload-List-Eignung prüfen
WeiterleitungsanalyseDie HTTP-Weiterleitungskette verfolgen und Schleifen erkennen
Phishing-ErkennungPrüfen, ob eine URL als Phishing gemeldet wird
DNSSEC-ValidierungDie kryptografische Signatur deiner DNS-Zone bestätigen
MTA-STS-KonformitätDie für deine Domain veröffentlichte MTA-STS-Policy prüfen
Uptime-MonitoringDie Verfügbarkeit deiner HTTP-Endpoints multi-regional überwachen

Nützliche Ressourcen