HTTP-Header
HTTP-Header sind Metadaten in HTTP-Requests und -Responses. Sie steuern Caching, Authentication, Content-Type, Security-Policies. Format: Name: Wert.
detaillierte erklärung
HTTP-Header sind Schlüssel-Wert-Paare, die zusätzliche Informationen zwischen Client und Server übertragen. Format HTTP/1.x: Header-Name: Wert (case-insensitive), HTTP/2+: lowercase mit Pseudo-Headern (:authority). Kategorien: Request-Header (Client-Info wie User-Agent, Accept, Authorization), Response-Header (Server-Info wie Server, Location, Set-Cookie), Representation-Header (Content-Typ, Encoding), Payload-Header (Content-Length). Wichtige Security-Header: Content-Security-Policy (CSP) verhindert XSS durch Ressourcen-Whitelist, Strict-Transport-Security (HSTS) erzwingt HTTPS, X-Frame-Options blockt Clickjacking, CORS-Header kontrollieren Cross-Origin-Zugriffe. Header-Fehler ermöglichen Angriffe: Fehlende CSP → XSS möglich, kein HSTS → Downgrade zu HTTP, Server-Header verrät Software-Versionen. Pentesting prüft immer Security-Header-Konfiguration.
warum ist das wichtig?
HTTP-Header sind kritisch für Web-Security. Du musst CSP, HSTS und CORS verstehen für OWASP-Top-10-Mitigation. Im Pentesting checkst du Security-Header als ersten Schritt (fehlende CSP = XSS-anfälliger).
häufige fehler
- ⚠Header sind optional - Teils falsch, manche wie Host sind mandatory (HTTP/1.1)
- ⚠Security-Header = vollständiger Schutz - Nein, Defense-in-Depth, keine Silberkugel
- ⚠Alle Header sind case-sensitive - Nein, HTTP/1.x Header-Namen sind case-insensitive