Erweiterte Security Header: Infrastruktur-Härtung abschließen
Die Kern-Header sind gesetzt — jetzt kommen die letzten Stellschrauben: Prozess-Isolation, saubere HTTPS-Redirects, DNS-Privacy und Legacy-Header-Bereinigung.
Die letzten Lücken in der Sicherheitsarchitektur schließen
Origin-Agent-Cluster isoliert Ihre Website in einem eigenen Browser-Prozess und verhindert Spectre-Seitenkanal-Angriffe zwischen Subdomains. HTTPS-Redirects und WWW-Normalisierung sorgen für eine saubere URL-Architektur ohne Redirect-Ketten. Zusammen mit der Entfernung veralteter Header wie X-XSS-Protection schließen diese Maßnahmen die letzten Lücken in Ihrer Web-Security-Konfiguration.
Der Wolf-Agents Web Security Check bewertet diese erweiterten Header mit 4 Punkten als Teil der 166 Prüfpunkte. Einzeln betrachtet sind es kleine Stellschrauben — zusammen signalisieren sie eine durchdacht gehärtete Infrastruktur.
| Header / Maßnahme | Funktion | Punkte |
|---|---|---|
Origin-Agent-Cluster: ?1 | Prozess-Isolation gegen Spectre | +3 |
| HTTPS-Redirect (301) | Saubere HTTP→HTTPS Weiterleitung | +1 |
| WWW-Normalisierung | Konsistente URL-Variante | — |
| Deprecated Header entfernen | X-XSS-Protection, X-Powered-By | — |
Origin-Agent-Cluster: Prozess-Isolation gegen Spectre
Der Origin-Agent-Cluster: ?1 Header fordert den Browser auf, die Seite in einem eigenen Agent Cluster basierend auf der Origin zu isolieren. Das deaktiviert document.domain (seit Chrome 115 ohnehin Standard) und verhindert, dass Spectre-Angriffe Cross-Origin-Daten zwischen Subdomains lesen. Chrome und Edge nutzen origin-keyed Isolation seit Juli 2023 als Default — der Header ist für Firefox und als explizite Dokumentation der Sicherheitsentscheidung wichtig.
evil.example.com und app.example.com teilen sich einen Prozess. Spectre kann Daten zwischen Subdomains lesen.
Jede Subdomain läuft in einem eigenen Prozess. Spectre-Angriff scheitert an der Prozessgrenze.
# ?1 ist die Schreibweise für true in Structured Headers (RFC 8941)
Origin-Agent-Cluster: ?1HTTPS-Redirects und WWW-Normalisierung
Ein sauberer HTTPS-Redirect leitet HTTP-Anfragen mit einem einzigen 301-Redirect direkt auf HTTPS weiter — ohne Redirect-Ketten über www-Varianten. WWW-Normalisierung konsolidiert den SEO-Wert auf eine kanonische URL-Variante. Beides zusammen verbessert Sicherheit (kein HTTP-Zeitfenster für MitM), Performance (ein Redirect statt zwei) und SEO (kein Duplicate Content).
Schlecht: Redirect-Kette
http://example.com
→ 302 → http://www.example.com
→ 302 → https://www.example.com3 Requests, 2 Redirects, temporär (302), MitM-Fenster
Gut: Direkter Redirect
http://example.com
→ 301 → https://example.com2 Requests, 1 Redirect, permanent (301), HSTS eliminiert künftige Redirects
Veraltete Header entfernen — nicht setzen
Einige Header werden fälschlicherweise noch empfohlen, obwohl sie in modernen Browsern entfernt wurden oder sogar schaden. X-XSS-Protection wurde 2023 aus allen Browsern entfernt — der Filter konnte in älteren Versionen selbst XSS-Angriffe ermöglichen. X-Powered-By und Server verraten Technologie-Details und sollten entfernt, nicht gesetzt werden.
| Header | Status | Empfehlung |
|---|---|---|
X-XSS-Protection | Entfernt aus allen Browsern (2023) | NICHT setzen — CSP ersetzt ihn |
X-Powered-By | Kein Security-Header | Entfernen — verrät Stack-Details |
Server | Informationsheader | Minimieren — keine Versionsangabe |
Regulatorische Zuordnung
Erweiterte Security Header sind Teil der Systemhärtung nach NIS2 Art. 21 Abs. 2 lit. e (Sicherheit bei Erwerb, Entwicklung und Wartung von Systemen). Origin-Agent-Cluster schützt gegen Spectre-Seitenkanal-Angriffe, saubere HTTPS-Redirects verhindern Downgrade-Angriffe und die Entfernung veralteter Header reduziert die Angriffsfläche. Im deutschen §30 Abs. 2 Nr. 5 BSIG (NIS2UmsuCG) ist dies seit 06.12.2025 konkretisiert. Der BSI IT-Grundschutz APP.3.1 fordert die Härtung von Webanwendungen als Standard-Anforderung — dazu gehört auch die korrekte Redirect-Konfiguration und die Entfernung von Informationsleaking-Headern wie X-Powered-By und Server.
Wie steht Ihre Domain bei Erweiterte Header?
Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 166 Prüfpunkte.
Häufig gestellte Fragen
Was ist Origin-Agent-Cluster und warum sollte ich es setzen?
Origin-Agent-Cluster fordert den Browser auf, die Seite in einem eigenen Prozess basierend auf der Origin zu isolieren. Das verhindert Spectre-Seitenkanal-Angriffe zwischen Subdomains. Chrome/Edge nutzen seit Version 115 origin-keyed Isolation als Standard — der Header bestätigt diese Einstellung explizit und ist für Firefox relevant, das dem Default noch nicht folgt.
Warum sollte der HTTPS-Redirect ein 301 und kein 302 sein?
Ein 301 (Moved Permanently) signalisiert Browsern und Suchmaschinen, dass die Weiterleitung dauerhaft ist. Browser cachen 301-Redirects und vermeiden zukünftige HTTP-Anfragen. Ein 302 (Found) ist temporär — der Browser fragt jedes Mal erneut über HTTP an, was Latenz verursacht und ein kurzes Zeitfenster für Man-in-the-Middle-Angriffe öffnet.
Was ist der Unterschied zwischen www und non-www Normalisierung?
Suchmaschinen behandeln www.example.com und example.com als zwei verschiedene Websites. Ohne Normalisierung verteilt sich der SEO-Wert auf beide Varianten. Eine konsistente 301-Weiterleitung auf eine Variante konsolidiert den SEO-Wert und verhindert Duplicate Content. Für die meisten modernen Websites ist non-www (example.com) die empfohlene Variante.
Welche Header sollte ich NICHT setzen?
X-XSS-Protection: Seit 2023 in allen Browsern entfernt. Der Header hatte ohnehin keine Wirkung mehr und konnte in älteren Browsern sogar XSS-Angriffe ermöglichen (via Filter-basierte Injection). X-Powered-By und Server: Diese Header verraten Technologie-Details und sollten entfernt statt gesetzt werden.
Was sind Fetch Metadata Request Headers (Sec-Fetch-*)?
Sec-Fetch-Site, Sec-Fetch-Mode, Sec-Fetch-Dest und Sec-Fetch-User sind Browser-gesetzte Header die dem Server mitteilen, woher eine Anfrage kommt und welchen Typ sie hat. Der Server kann damit verdächtige Cross-Origin-Anfragen blockieren (Resource Isolation Policy). Diese Header können nicht von JavaScript gefälscht werden.
Prüft der Wolf-Agents Scanner erweiterte Header?
Ja. Der Wolf-Agents Web Security Check prüft Origin-Agent-Cluster, HTTPS-Redirect-Qualität, WWW-Normalisierung und weitere Infrastruktur-Header als Teil der 166 Prüfpunkte. Die erweiterten Header tragen 4 Punkte zur Gesamtnote bei.