Security-Header setzen (CSP, HSTS, X-Frame usw.) — Cursor
Fehlende Security-Header lassen Angreifer deine Site für Clickjacking framen, HTTPS-Verbindungen downgraden oder Scripts injizieren. Browser warnen User, Suchmaschinen flaggen die Site.
In Cursor fixen
Agentischer AI-Code-Editor auf VSCode-Basis
In Next.js Headers in `next.config.js` unter `headers`. Vercel wendet sie auf jede Response an.
Anderes Tool? Wähle deinen Stack:
Der Prompt für Cursor
Diesen Text exakt so in deinen Cursor-Chat kopieren und einfügen.
Apply these changes to my codebase. Edit the files directly and keep existing formatting: Add security headers 1. Open `next.config.ts` and add a `headers()` async function. 2. Return Content-Security-Policy, Strict-Transport-Security, X-Frame-Options=DENY, X-Content-Type-Options=nosniff and Referrer-Policy=strict-origin-when-cross-origin for path "/(.*)". 3. Restart the dev server and verify with `curl -I https://yoursite/`.
Warum das wichtig ist
Security-Header sind kleine HTTP-Response-Header die dem Browser sagen wie er deine User schützen soll. Gratis aktivierbar und reduzieren Angriffsfläche für XSS, Clickjacking, MIME-Sniffing und Downgrade-Angriffe drastisch. Jeder grosse Security-Scanner (Mozilla Observatory, securityheaders.com, Google Security Checkup) testet sie.
Die meisten AI-gebauten Apps shippen ohne Custom-Header weil das Scaffold-Template sie nicht inkludiert und niemand danach fragt. Einfachstes "Medium-Severity"-Finding im Pantra Security Audit.
Strict-Transport-Security (HSTS) ist besonders wichtig: sobald ein Browser ihn sieht, verweigert er jede Non-HTTPS-Anfrage an deine Domain für die max-age-Dauer. Blockiert SSL-Stripping-Angriffe und schützt User in feindlichen Netzen.
So nutzt du diesen Prompt in Cursor
- 1. Dein Cursor-Projekt öffnen.
- 2. Prompt oben mit Copy-Button kopieren.
- 3. In Cursor-Chat einfügen und senden.
- 4. Diff reviewen, Änderungen akzeptieren, neu deployen.
- 5. Fix mit der Checkliste unten verifizieren.
Typische Fehler vermeiden
- error_outlineCSP setzen die eigene Inline-Scripts blockt und die Site bricht.
- error_outline`X-Frame-Options: DENY` auf Seite die embedbar sein muss (z.B. Checkout-iframe).
- error_outlineHSTS mit `max-age=31536000` auf Subdomain die noch HTTP hat — sperrt User aus.
- error_outline`Referrer-Policy: no-referrer` überall — bricht Analytics und Affiliate-Tracking.
- error_outlineCSP in `<meta>`-Tag statt HTTP-Header — manche Direktiven funktionieren im Meta nicht.
Wie du prüfst ob der Fix geklappt hat
- check_circlehttps://securityheaders.com/?q=deinesite.com — Ziel: Grade A.
- check_circlehttps://observatory.mozilla.org/ — Ziel: Grade B oder besser.
- check_circle`curl -I https://deinesite.com` — bestätigen dass die fünf Header da sind.
- check_circleDevTools → Netzwerk → Response-Header auf echten Seiten prüfen.
Häufige Fragen
Wird CSP meine Site brechen?expand_more
Minimaler HSTS-Wert?expand_more
Beeinflussen Security-Header SEO?expand_more
Alle 34 Prompts passend zu deiner Cursor-Site?
Pantra scannt deine Site in 10 Sekunden, erkennt den Stack und generiert genau die Prompts die passen — nur die du brauchst.
Site scannenÄhnliche Cursor-Prompts
HTTPS erzwingen und HSTS aktivieren — Cursor
Prompt um alles HTTP auf HTTPS zu redirecten und HSTS zu aktivieren — 2026 Pflicht. In jedem Stack.
SicherheitAPI-Keys aus dem Client-Bundle entfernen — Cursor
Stack-spezifischer Prompt um Supabase-Service-Keys, OpenAI-Keys, Stripe-Keys und andere Secrets aus Client-Code in Server-Env zu verschieben — für Lovable, Cursor, Bolt, v0, Replit, Windsurf, Claude Code, Base44.
SicherheitSupabase Row Level Security auf jeder Tabelle aktivieren — Cursor
Prompt um RLS auf jeder Supabase-Tabelle zu aktivieren und sinnvolle Policies zu schreiben — der #1-Security-Fix für Lovable, Cursor, Bolt, v0, Replit, Windsurf, Claude Code, Base44 Apps.