Security-Header setzen (CSP, HSTS, X-Frame usw.) — Claude Code
Fehlende Security-Header lassen Angreifer deine Site für Clickjacking framen, HTTPS-Verbindungen downgraden oder Scripts injizieren. Browser warnen User, Suchmaschinen flaggen die Site.
In Claude Code fixen
Anthropics offizieller Terminal-Coding-Agent
Claude Code erkennt das Framework und wählt die richtige Config-Datei — schreibt alle fünf Header in einem Rutsch.
Anderes Tool? Wähle deinen Stack:
Der Prompt für Claude Code
Diesen Text exakt so in deinen Claude Code-Chat kopieren und einfügen.
Run Claude Code in the project root and make these exact changes, scanning the whole codebase first: Add security headers 1. Add a `_headers` file (Netlify) or hosting-config that sets these headers globally: 2. Content-Security-Policy, Strict-Transport-Security (max-age=31536000; includeSubDomains; preload), X-Frame-Options: DENY, X-Content-Type-Options: nosniff, Referrer-Policy: strict-origin-when-cross-origin. 3. Verify with `curl -I` against your deployed URL.
Warum das wichtig ist
Security-Header sind kleine HTTP-Response-Header die dem Browser sagen wie er deine User schützen soll. Gratis aktivierbar und reduzieren Angriffsfläche für XSS, Clickjacking, MIME-Sniffing und Downgrade-Angriffe drastisch. Jeder grosse Security-Scanner (Mozilla Observatory, securityheaders.com, Google Security Checkup) testet sie.
Die meisten AI-gebauten Apps shippen ohne Custom-Header weil das Scaffold-Template sie nicht inkludiert und niemand danach fragt. Einfachstes "Medium-Severity"-Finding im Pantra Security Audit.
Strict-Transport-Security (HSTS) ist besonders wichtig: sobald ein Browser ihn sieht, verweigert er jede Non-HTTPS-Anfrage an deine Domain für die max-age-Dauer. Blockiert SSL-Stripping-Angriffe und schützt User in feindlichen Netzen.
So nutzt du diesen Prompt in Claude Code
- 1. Dein Claude Code-Projekt öffnen.
- 2. Prompt oben mit Copy-Button kopieren.
- 3. In Claude Code-Chat einfügen und senden.
- 4. Diff reviewen, Änderungen akzeptieren, neu deployen.
- 5. Fix mit der Checkliste unten verifizieren.
Typische Fehler vermeiden
- error_outlineCSP setzen die eigene Inline-Scripts blockt und die Site bricht.
- error_outline`X-Frame-Options: DENY` auf Seite die embedbar sein muss (z.B. Checkout-iframe).
- error_outlineHSTS mit `max-age=31536000` auf Subdomain die noch HTTP hat — sperrt User aus.
- error_outline`Referrer-Policy: no-referrer` überall — bricht Analytics und Affiliate-Tracking.
- error_outlineCSP in `<meta>`-Tag statt HTTP-Header — manche Direktiven funktionieren im Meta nicht.
Wie du prüfst ob der Fix geklappt hat
- check_circlehttps://securityheaders.com/?q=deinesite.com — Ziel: Grade A.
- check_circlehttps://observatory.mozilla.org/ — Ziel: Grade B oder besser.
- check_circle`curl -I https://deinesite.com` — bestätigen dass die fünf Header da sind.
- check_circleDevTools → Netzwerk → Response-Header auf echten Seiten prüfen.
Häufige Fragen
Wird CSP meine Site brechen?expand_more
Minimaler HSTS-Wert?expand_more
Beeinflussen Security-Header SEO?expand_more
Alle 34 Prompts passend zu deiner Claude Code-Site?
Pantra scannt deine Site in 10 Sekunden, erkennt den Stack und generiert genau die Prompts die passen — nur die du brauchst.
Site scannenÄhnliche Claude Code-Prompts
HTTPS erzwingen und HSTS aktivieren — Claude Code
Prompt um alles HTTP auf HTTPS zu redirecten und HSTS zu aktivieren — 2026 Pflicht. In jedem Stack.
SicherheitAPI-Keys aus dem Client-Bundle entfernen — Claude Code
Stack-spezifischer Prompt um Supabase-Service-Keys, OpenAI-Keys, Stripe-Keys und andere Secrets aus Client-Code in Server-Env zu verschieben — für Lovable, Cursor, Bolt, v0, Replit, Windsurf, Claude Code, Base44.
SicherheitSupabase Row Level Security auf jeder Tabelle aktivieren — Claude Code
Prompt um RLS auf jeder Supabase-Tabelle zu aktivieren und sinnvolle Policies zu schreiben — der #1-Security-Fix für Lovable, Cursor, Bolt, v0, Replit, Windsurf, Claude Code, Base44 Apps.