HTTP Header Inspector (HTTP-Header prüfen)

Volle URL eingeben, KernelHost holt die Antwort live aus Frankfurt FRA01: Statuscode, alle Header, Redirect-Kette, TLS-Verify und Security-Header-Audit.

URL prüfen

Was ist ein HTTP-Header

HTTP-Header sind Schlüssel-Wert-Paare, die ein Webserver vor dem eigentlichen Inhalt mit jeder Antwort sendet. Sie steuern, wie der Browser die Seite rendert, ob er sie cachen darf, ob er sie in iframes einbetten darf, welche Skripte er ausführen darf und ob er HTTPS erzwingen muss.

Beim Aufruf einer URL liefert dieser Inspector den Statuscode, alle Antwort-Header, die komplette Redirect-Kette, das verwendete HTTP-Protokoll, das verifizierte TLS-Zertifikat sowie ein Security-Audit der wichtigsten Schutz-Header.

Statuscode: 200 OK, 301 Redirect, 404 Not Found, 500 Server Error, etc. Farbcode-Indikator zeigt sofort die Klasse.
Redirect-Kette: Jeder Hop von HTTP zu HTTPS, von www zu nackter Domain, jede Tracker-Umleitung wird sichtbar.
Security-Header: HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy in einem Audit-Block.
TLS-Verifikation: Zertifikat, Issuer, Gültigkeit und der OpenSSL-Verify-Code. Self-signed oder abgelaufen wird sofort sichtbar.

Welche Security-Header sollte jede Webseite haben

Sechs Header decken den Großteil typischer Web-Angriffsvektoren ab. Wer alle sechs setzt, verkleinert die Angriffsfläche gegen Clickjacking, MIME-Sniffing-Tricks, XSS und Mixed-Content drastisch.

Strict-Transport-Security (HSTS): Erzwingt HTTPS, schließt SSL-Stripping aus, mit preload optional in Chrome/Firefox-Listen aufnehmbar.
Content-Security-Policy (CSP): Whitelist, was Skripte und Styles laden dürfen. Härtester XSS-Schutz im Browser.
X-Frame-Options: DENY oder SAMEORIGIN gegen Clickjacking, alternativ frame-ancestors in der CSP.
X-Content-Type-Options: nosniff: Verhindert, dass Browser den Content-Type erraten und z. B. ein hochgeladenes Bild als JavaScript ausführen.
Referrer-Policy: strict-origin-when-cross-origin ist der Default-Wert, der gleichzeitig Privacy schützt und Analytics nicht zerstört.
Permissions-Policy: Schaltet Kamera, Mikrofon, Geolocation, USB ab, wenn die Seite sie nicht braucht.

Wer einen Score auf securityheaders.com erreicht (A oder A+), hat alle sechs gesetzt. Der Inspector hier zeigt sofort, welcher fehlt.

HSTS, CSP, CORS verstehen

HSTS (Strict-Transport-Security) sagt dem Browser, ab jetzt nur noch HTTPS für diese Domain zu nutzen, auch wenn der Nutzer http:// eingibt. Ein einmal gesetztes max-age=63072000 (zwei Jahre) hält die Seite zwei Jahre lang HTTPS-only, ohne Server-Anfrage. Mit includeSubDomains gilt das auch für jede Subdomain. preload erlaubt zusätzlich die Aufnahme in die Chrome- und Firefox-Listen.

CSP (Content-Security-Policy) ist eine Whitelist: nur explizit erlaubte Ressourcen-Quellen dürfen geladen werden. default-src 'self' verbietet alles außer dem eigenen Origin. script-src, style-src, img-src, connect-src, frame-src spezifizieren Ausnahmen. nonce- oder hash-basierte CSPs erlauben außerdem inline Skripte sicher. Eine korrekt eingestellte CSP ist der härteste XSS-Schutz, den das Web bietet.

CORS (Cross-Origin Resource Sharing) ist kein Schutz, sondern eine Erlaubnis: Access-Control-Allow-Origin sagt, welche fremden Origins die Antwort lesen dürfen. Falsch konfiguriert (Access-Control-Allow-Origin: * mit Cookies) öffnet sie eine Lücke, korrekt eingesetzt erlaubt sie sichere API-Aufrufe von der eigenen SPA aus.

Redirect-Ketten und SEO

Jeder Redirect kostet eine Round-Trip-Time. Eine Kette http -> https -> www -> /de/ summiert vier Hops und kann auf einer langsamen Mobilverbindung mehr als eine Sekunde dauern, bevor der eigentliche Inhalt überhaupt anfängt zu laden. Suchmaschinen bewerten lange Ketten zudem negativ und verlieren bei jedem Hop einen kleinen Anteil der Linkkraft.

301 vs 302: 301 ist permanent und wird gecacht, 302 ist temporär. Permanente Migrations-Redirects immer als 301, sonst behält Google die alte URL im Index.
Direkt verlinken: Interne Links sollten immer auf die finale URL zeigen, niemals auf einen bekannten Redirect, sonst kostet jeder Klick einen unnötigen Hop.
Loop-Erkennung: Über 5 Hops oder Schleifen sind Misskonfigurationen. Der Inspector bricht nach 10 Redirects ab und macht das Problem sichtbar.

Eine sauber strukturierte Domain hat höchstens einen Redirect (HTTP -> HTTPS, oder bare -> www), niemals mehr.

Cache-Control Best-Practices

Cache-Control entscheidet, ob Browser, CDNs und Proxies eine Antwort wiederverwenden dürfen. Ein gut gesetztes Cache-Control reduziert Origin-Last, beschleunigt wiederkehrende Aufrufe um Größenordnungen und verbessert Core Web Vitals direkt.

Statische Assets: public, max-age=31536000, immutable für gehashte Bundle-Files (style.abc123.css). Ein Jahr Cache, niemals revalidieren.
HTML-Seiten: no-cache, must-revalidate (jede Anfrage prüft, aber 304 Not Modified ist möglich), oder s-maxage=60 für CDN-Edge-Cache mit kurzer Lifetime.
Privater Inhalt: private, no-store für Antworten mit Session-Cookies oder personalisiertem Content. Niemals von einem Shared-Cache speichern lassen.
ETag und Last-Modified: Geben Validatoren für die 304 Not Modified Antwort. Sparen Bandbreite und sind kostenlos vom Webserver gesetzt (NGINX, Apache).

Häufige Debug-Szenarien

Aus realer Praxis, dafür wird der Header-Inspector tatsächlich benutzt:

CDN-Cache-Status prüfen: Cloudflare zeigt cf-cache-status (HIT, MISS, BYPASS), Fastly nutzt x-cache, KeyCDN x-cache. Direkt sichtbar im Header-Block.
Cookie-Flags kontrollieren: Set-Cookie Header werden ausgegeben mit allen Attributen. Secure, HttpOnly, SameSite müssen für Session-Cookies gesetzt sein.
HTTPS-Migration verifizieren: http:// Eingabe muss zu 301 auf https:// führen, plus HSTS-Header in der finalen Antwort. Beides in der Redirect-Kette und im Audit sichtbar.
Bot-Detection-Regeln: WAFs setzen oft x-firewall, x-rate-limit-* oder server: cloudflare. Sichtbar im Server-Header und im Header-Audit.
TLS-Probleme isolieren: Verify-Code != 0 deutet auf abgelaufene oder self-signed Zertifikate, Issuer-Field zeigt sofort, ob Lets-Encrypt, Sectigo, DigiCert oder ein interner CA verwendet wird.

KernelHost setzt diese Header von Haus aus

Auf jedem KernelHost Webhosting-Tarif liefert der NGINX-Default-Vhost bereits HSTS, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy und eine konservative CSP mit aus. Eigene Domains müssen nichts dafür tun, der Wert kommt automatisch in der Antwort.

Auf KernelHost VPS und Dedicated Servern liefern unsere Server-Tweaks (Auto-Setup-Skript) die gleiche Default-Konfiguration, plus per-Vhost-Override über NGINX includes. Wer auf securityheaders.com A+ erreichen möchte, ist hier in zwei Minuten fertig.

Datenschutz

Der HTTP Header Inspector arbeitet vollständig serverseitig auf KernelHost-Infrastruktur (Frankfurt FRA01, Deutschland). Keine externen APIs, kein Third-Party-Tracking.

Eingegebene URLs werden ausschließlich für die einmalige Anfrage verwendet und nicht persistent gespeichert.
Die Antwort des Zielservers wird im Browser angezeigt und danach im Server-Speicher verworfen.
Rate-Limit-Daten halten nur einen anonymen Hash der Client-IP für maximal 60 Sekunden, um Missbrauch zu unterbinden.
Der Request an die Ziel-URL trägt den User-Agent KernelHost-Header-Inspector/1.0 und keinerlei Cookies oder Auth-Header.

Häufige Fragen

Warum sehe ich nicht den gleichen Statuscode wie im Browser?

Manche Sites liefern unterschiedliche Antworten je nach User-Agent oder Cookie-Zustand. Der Inspector verwendet einen sauberen User-Agent ohne Cookies, das ist die rohe Server-Antwort. Bei Geo-Blocks oder A/B-Tests können Codes abweichen.

Was bedeutet ein 405 oder 501 als HEAD-Antwort?

405 Method Not Allowed bzw. 501 Not Implemented bedeutet, dass der Server HEAD-Requests blockt. Der Inspector wechselt automatisch auf GET und verwirft dann den Body. Im Ergebnis steht "Methode: GET" anstelle von "HEAD".

Warum schlägt die TLS-Verifikation fehl, obwohl der Browser kein Problem zeigt?

Browser akzeptieren oft ältere oder zusätzlich von Microsoft, Mozilla oder Apple gepflegte Roots, die nicht im OpenSSL-Default-Trust-Store stecken. Self-signed Zertifikate, intern signierte Zertifikate oder ein fehlendes Intermediate sind die häufigsten Ursachen.

Kann ich auch http:// URLs prüfen?

Ja. Der Inspector akzeptiert http:// und https://. Bei http:// gibt es keinen TLS-Block, dafür sehen Sie die HSTS-Antwort des Servers (oder ihr Fehlen) und die Redirect-Kette zur https://-Variante.

Werden private IPs unterstützt (192.168, 10.x, ::1)?

Nein, aus Sicherheitsgründen. Der Server prüft jeden Hostnamen vor dem Request gegen einen Public-IP-Filter (RFC1918, Loopback, Link-Local und Reserved werden geblockt), um SSRF-Angriffe gegen interne KernelHost-Infrastruktur zu verhindern.

Wie viele Redirects folgt der Inspector maximal?

Maximal 10 Redirects, danach bricht curl ab. Mehr als 10 Hops sind in der Praxis fast immer eine Loop oder eine Fehlkonfiguration und werden in der Antwort als Fehler ausgewiesen.

Warum sehe ich keinen Set-Cookie-Header, obwohl die Seite Cookies setzt?

Set-Cookie kommt nur in der unmittelbaren Antwort des Servers, nicht nach einem Redirect. Wenn die finale Seite das Cookie schon vorher gesetzt hat (in einem Redirect-Hop), erscheint es in der Redirect-Kette, nicht in der Header-Tabelle. Außerdem setzen viele moderne SPAs Cookies erst per JavaScript-Login, was der serverseitige Inspector naturgemäß nicht sieht.

Werden HTTP/3 oder QUIC erkannt?

Der Request wird über HTTP/1.1 oder HTTP/2 ausgeführt (je nach libcurl-Version, im KernelHost-Container ist es HTTP/2). Ein alt-svc Header in der Antwort verrät, ob der Server zusätzlich HTTP/3 anbietet, der eigentliche Aufruf läuft jedoch über die etablierte H1/H2-Verbindung.

Todos los productos KernelHost

¿Necesitas más que herramientas? Descubre nuestra oferta de hosting comercial.

KVM-Rootserver desde 4,99 €/mes Dedicated-Server desde 69,99 €/mes Minecraft-Server desde 4,00 €/mes Webhosting desde 3,99 €/mes Private VPN-Server IP dedicada Protección DDoS 3,2 Tbps Arbor