HTTPS erzwingen und HSTS aktivieren — Base44
HTTP wird von Chrome als "Nicht sicher" markiert. Jeder HTTP-Request leakt Cookies und lässt Angreifer in feindlichen Netzen Inhalte injizieren. Fehlendes HTTPS deckelt auch das SEO-Ranking.
In Base44 fixen
No-Code + AI-App-Builder
Base44 generiert wiederverwendbare Blocks — viele Fixes werden angewendet indem man den betroffenen Block mit klareren Instruktionen neu generiert. Prompt unten in deinen Base44-Chat einfügen und der Fix rollt in einem Rutsch über das ganze Projekt aus.
Anderes Tool? Wähle deinen Stack:
Der Prompt für Base44
Diesen Text exakt so in deinen Base44-Chat kopieren und einfügen.
In Base44, regenerate the affected blocks with these exact instructions: Force HTTPS 1. Configure your hosting provider to issue a Let's Encrypt certificate (most platforms do this automatically). 2. Add a permanent (301) redirect from http:// to https://. 3. Set the Strict-Transport-Security header so browsers refuse plain HTTP.
Warum das wichtig ist
Google nutzt HTTPS als Ranking-Signal und Chrome labelt HTTP-Sites "Nicht sicher" in der Adressleiste. Keine moderne Hosting-Plattform berechnet HTTPS — Vercel, Netlify, Replit, Lovable, Cloudflare inkludieren kostenlose Zertifikate.
HSTS geht einen Schritt weiter: sagt dem Browser HTTP für deine Domain komplett zu verweigern, für eine lange max-age. Blockiert eine ganze Klasse von Downgrade-Angriffen.
HSTS aktivieren schaltet auch die HSTS-Preload-Liste frei — Chrome und Firefox shippen deine Domain ab Werk als HTTPS-only, selbst Erst-Besucher in kompromittierten Netzen sind sicher.
So nutzt du diesen Prompt in Base44
- 1. Dein Base44-Projekt öffnen.
- 2. Prompt oben mit Copy-Button kopieren.
- 3. In Base44-Chat einfügen und senden.
- 4. Diff reviewen, Änderungen akzeptieren, neu deployen.
- 5. Fix mit der Checkliste unten verifizieren.
Typische Fehler vermeiden
- error_outlineHSTS aktivieren bevor alle Subdomains HTTPS liefern — Browser verweigern dann Non-HTTPS-Subdomains.
- error_outline`Strict-Transport-Security: max-age=300` "zur Sicherheit" — kurze max-age untergräbt den Sinn.
- error_outlineHTTP auf HTTPS per 302 statt 301 — SEO-Equity leakt.
- error_outlineAuf spezifischen HTTPS-Pfad redirecten und Query-String verlieren.
Wie du prüfst ob der Fix geklappt hat
- check_circle`http://deinesite.com` besuchen — Browser muss automatisch auf HTTPS redirecten.
- check_circle`curl -I http://deinesite.com` — liefert `301 Moved Permanently` mit HTTPS-Location-Header.
- check_circle`curl -I https://deinesite.com` — Response enthält `Strict-Transport-Security: max-age=31536000; includeSubDomains`.
- check_circleSSL-Labs-Test auf https://www.ssllabs.com/ssltest/ — Grade A oder A+.
Häufige Fragen
Brauche ich ein bezahltes SSL-Zertifikat?expand_more
Soll ich HSTS preloaden?expand_more
Sperrt HSTS mich bei Problemen aus?expand_more
Alle 34 Prompts passend zu deiner Base44-Site?
Pantra scannt deine Site in 10 Sekunden, erkennt den Stack und generiert genau die Prompts die passen — nur die du brauchst.
Site scannenÄhnliche Base44-Prompts
Security-Header setzen (CSP, HSTS, X-Frame usw.) — Base44
Stack-spezifischer Prompt für Content-Security-Policy, HSTS, X-Frame-Options, X-Content-Type-Options, Referrer-Policy in Lovable, Cursor, Bolt, v0, Replit, Windsurf, Claude Code, Base44.
SicherheitAPI-Keys aus dem Client-Bundle entfernen — Base44
Stack-spezifischer Prompt um Supabase-Service-Keys, OpenAI-Keys, Stripe-Keys und andere Secrets aus Client-Code in Server-Env zu verschieben — für Lovable, Cursor, Bolt, v0, Replit, Windsurf, Claude Code, Base44.
SicherheitSupabase Row Level Security auf jeder Tabelle aktivieren — Base44
Prompt um RLS auf jeder Supabase-Tabelle zu aktivieren und sinnvolle Policies zu schreiben — der #1-Security-Fix für Lovable, Cursor, Bolt, v0, Replit, Windsurf, Claude Code, Base44 Apps.