Formular-Sicherheit
Prüft Formulare auf HTTPS-Action, CSRF-Tokens und Autocomplete-Attribute.
Was dieser Check misst
Wir enumerieren `<form>`-Tags: Action-URL ist HTTPS (oder Same-Origin), Login/Payment-Forms haben CSRF-Token oder SameSite-geschützte Session, Password-Felder nutzen `autocomplete="current-password"` oder `new-password`.
Warum es wichtig ist
Unsichere Form-Actions senden Credentials über HTTP. Fehlende CSRF-Tokens lassen Angreifer auth'd Aktionen im Namen von Nutzern triggern. Falsches Autocomplete bricht Password-Manager-Integration.
Wie unser Audit es erkennt
Form-Tags parsen, Action-Protokoll prüfen, Hidden CSRF-Input oder Origin/Referer-Validation, Autocomplete auf Password-Inputs validieren.
Typische Findings
- error_outlineLogin-Form-Action zeigt auf http://-URL.
- error_outlineKein CSRF-Token auf state-changing Form, keine SameSite-Cookie.
- error_outlinePassword-Feld hat autocomplete="off" — blockt Password-Manager.
So behebst du es
Alle Forms per HTTPS. CSRF-Tokens für state-changing (oder SameSite=Lax/Strict-Session). Korrekte Autocomplete-Werte für A11y und Password-Manager.
Häufige Fragen
CSRF-Tokens bei SameSite-Cookies nötig?expand_more
Soll das auf deiner Site geprüft werden?
Pantra läuft den vollen Audit (SEO, Sicherheit, GEO, Performance, Schema, Technik, Bilder) in 10 Sekunden und generiert stack-spezifische Fix-Prompts.
Site scannenÄhnliche Checks
HTTPS aktiv
Prüft ob die Site über HTTPS ausliefert und HTTP auf HTTPS redirected.
SicherheitTLS-Version
Prüft dass der Server TLS 1.2 oder höher nutzt — ältere Versionen sind kaputt.
SicherheitMixed Content
Prüft HTTP-Ressourcen auf HTTPS-Seiten — Browser blockieren oder warnen.
SicherheitSSL-Zertifikat
Prüft dass das SSL-Zertifikat gültig, nicht abgelaufen und nicht bald ablaufend ist.