Welche HTTP-Sicherheitsheader brauche ich – und wie setze ich CSP, HSTS, X-Frame-Options & Co. korrekt?
Wer Webanwendungen betreibt, muss nicht nur Code absichern, sondern auch das Verhalten des Browsers steuern. HTTP-Sicherheitsheader greifen genau hier ein: Sie definieren, welche Inhalte geladen werden dürfen, ob Verbindungen zwangsweise über TLS laufen, ob eine Seite in Frames eingebettet werden darf oder wie der Browser mit sensiblen Metadaten umgeht. In der Praxis entstehen viele Sicherheitslücken oder Betriebsprobleme nicht durch fehlende Header, sondern durch unpräzise Direktiven, widersprüchliche Kombinationen oder Annahmen über Browser-Verhalten, die in modernen Engines nicht mehr gelten. Administratoren, Entwickler und Security-Verantwortliche stehen daher häufig vor der konkreten Frage, welche Header in welcher Form gesetzt werden sollten, wie sich einzelne Direktiven auf typische Web-Patterns (Single-Page-Apps, CDN-Assets, OAuth-Redirects, Embedded Content) auswirken und welche Fehlkonfigurationen zu Blockaden, Downgrades oder Scheinsicherheit führen.


