HTTPS erzwingen und HSTS aktivieren — Windsurf
HTTP wird von Chrome als "Nicht sicher" markiert. Jeder HTTP-Request leakt Cookies und lässt Angreifer in feindlichen Netzen Inhalte injizieren. Fehlendes HTTPS deckelt auch das SEO-Ranking.
In Windsurf fixen
Codeium agentische AI-IDE mit Cascade
Windsurf Cascade kann das ganze Projekt durchlaufen und Multi-File-Edits in einem Rutsch anwenden. Prompt unten in deinen Windsurf-Chat einfügen und der Fix rollt in einem Rutsch über das ganze Projekt aus.
Anderes Tool? Wähle deinen Stack:
Der Prompt für Windsurf
Diesen Text exakt so in deinen Windsurf-Chat kopieren und einfügen.
Using Windsurf Cascade, apply these edits across the project in one pass: Force HTTPS 1. Configure your hosting provider to issue a Let's Encrypt certificate (most platforms do this automatically). 2. Add a permanent (301) redirect from http:// to https://. 3. Set the Strict-Transport-Security header so browsers refuse plain HTTP.
Warum das wichtig ist
Google nutzt HTTPS als Ranking-Signal und Chrome labelt HTTP-Sites "Nicht sicher" in der Adressleiste. Keine moderne Hosting-Plattform berechnet HTTPS — Vercel, Netlify, Replit, Lovable, Cloudflare inkludieren kostenlose Zertifikate.
HSTS geht einen Schritt weiter: sagt dem Browser HTTP für deine Domain komplett zu verweigern, für eine lange max-age. Blockiert eine ganze Klasse von Downgrade-Angriffen.
HSTS aktivieren schaltet auch die HSTS-Preload-Liste frei — Chrome und Firefox shippen deine Domain ab Werk als HTTPS-only, selbst Erst-Besucher in kompromittierten Netzen sind sicher.
So nutzt du diesen Prompt in Windsurf
- 1. Dein Windsurf-Projekt öffnen.
- 2. Prompt oben mit Copy-Button kopieren.
- 3. In Windsurf-Chat einfügen und senden.
- 4. Diff reviewen, Änderungen akzeptieren, neu deployen.
- 5. Fix mit der Checkliste unten verifizieren.
Typische Fehler vermeiden
- error_outlineHSTS aktivieren bevor alle Subdomains HTTPS liefern — Browser verweigern dann Non-HTTPS-Subdomains.
- error_outline`Strict-Transport-Security: max-age=300` "zur Sicherheit" — kurze max-age untergräbt den Sinn.
- error_outlineHTTP auf HTTPS per 302 statt 301 — SEO-Equity leakt.
- error_outlineAuf spezifischen HTTPS-Pfad redirecten und Query-String verlieren.
Wie du prüfst ob der Fix geklappt hat
- check_circle`http://deinesite.com` besuchen — Browser muss automatisch auf HTTPS redirecten.
- check_circle`curl -I http://deinesite.com` — liefert `301 Moved Permanently` mit HTTPS-Location-Header.
- check_circle`curl -I https://deinesite.com` — Response enthält `Strict-Transport-Security: max-age=31536000; includeSubDomains`.
- check_circleSSL-Labs-Test auf https://www.ssllabs.com/ssltest/ — Grade A oder A+.
Häufige Fragen
Brauche ich ein bezahltes SSL-Zertifikat?expand_more
Soll ich HSTS preloaden?expand_more
Sperrt HSTS mich bei Problemen aus?expand_more
Alle 34 Prompts passend zu deiner Windsurf-Site?
Pantra scannt deine Site in 10 Sekunden, erkennt den Stack und generiert genau die Prompts die passen — nur die du brauchst.
Site scannenÄhnliche Windsurf-Prompts
Security-Header setzen (CSP, HSTS, X-Frame usw.) — Windsurf
Stack-spezifischer Prompt für Content-Security-Policy, HSTS, X-Frame-Options, X-Content-Type-Options, Referrer-Policy in Lovable, Cursor, Bolt, v0, Replit, Windsurf, Claude Code, Base44.
SicherheitAPI-Keys aus dem Client-Bundle entfernen — Windsurf
Stack-spezifischer Prompt um Supabase-Service-Keys, OpenAI-Keys, Stripe-Keys und andere Secrets aus Client-Code in Server-Env zu verschieben — für Lovable, Cursor, Bolt, v0, Replit, Windsurf, Claude Code, Base44.
SicherheitSupabase Row Level Security auf jeder Tabelle aktivieren — Windsurf
Prompt um RLS auf jeder Supabase-Tabelle zu aktivieren und sinnvolle Policies zu schreiben — der #1-Security-Fix für Lovable, Cursor, Bolt, v0, Replit, Windsurf, Claude Code, Base44 Apps.