Sicherheit
SicherheitMittel

Cookie-Security-Flags

Prüft dass Session- und Auth-Cookies Secure, HttpOnly und SameSite-Flags setzen.

Was dieser Check misst

Wir parsen `Set-Cookie`-Response-Header. Session-Cookies brauchen `Secure` (nur HTTPS), `HttpOnly` (kein JS-Zugriff) und `SameSite=Lax` oder `Strict` (CSRF-Schutz).

Warum es wichtig ist

Fehlende Flags exponieren Cookies gegen XSS (HttpOnly), Netzwerk-Abhören (Secure) und CSRF (SameSite). Alle drei sollten Default sein — kostet nichts.

search

Wie unser Audit es erkennt

Set-Cookie auf Login-/Session-Endpoints parsen. Cookies ohne Secure, HttpOnly oder SameSite flaggen.

Typische Findings

  • error_outlineSession-Cookie ohne HttpOnly — JS-XSS kann ihn lesen.
  • error_outlineSession-Cookie ohne Secure — über HTTP übertragen.
  • error_outlineSameSite fehlt (moderne Browser-Default Lax, explizit sicherer).

So behebst du es

Für jeden Session-/Auth-Cookie: `Secure; HttpOnly; SameSite=Lax`. `Strict` für sensitivste Cookies. Frameworks tun das bei Opt-in.

Häufige Fragen

SameSite=Strict vs Lax?expand_more
Strict = nie cross-site (bricht OAuth-Return). Lax = bei Top-Level-Navigation (sicher für die meisten).

Soll das auf deiner Site geprüft werden?

Pantra läuft den vollen Audit (SEO, Sicherheit, GEO, Performance, Schema, Technik, Bilder) in 10 Sekunden und generiert stack-spezifische Fix-Prompts.

Site scannen

Ähnliche Checks

Sicherheit

HTTPS aktiv

Prüft ob die Site über HTTPS ausliefert und HTTP auf HTTPS redirected.

Sicherheit

TLS-Version

Prüft dass der Server TLS 1.2 oder höher nutzt — ältere Versionen sind kaputt.

Sicherheit

Mixed Content

Prüft HTTP-Ressourcen auf HTTPS-Seiten — Browser blockieren oder warnen.

Sicherheit

SSL-Zertifikat

Prüft dass das SSL-Zertifikat gültig, nicht abgelaufen und nicht bald ablaufend ist.

Mehr im Glossar erfahrenarrow_forward