# Welche HTTP-Header werden durch den Enginsight Observer überprüft? Ein Observer ist eine Enginsight Komponente, die auf Systemen an unterschiedlichen Standorten installiert werden kann, um Endpunkte – dies sind bei Enginsight interne und externe Webseiten – von außen zu überwachen. Dazu gehört auch die Überprüfung darauf, ob sicherheitsrelevante HTTP-Header vorhanden sind und richtig gesetzt wurden. Sollten HTTP-Header nicht korrekt gesetzt sein, wird eine entsprechende Empfehlung ausgegeben. Folgende HTTP-Header werden durch den Observer überprüft:

Name	Empfohlene Attribute	Beschreibung
Content-Security-Policy		Der Header Content-Security-Policy regelt, welche Ressourcen in einer bestimmten Art und Weise im Browser geladen bzw. ausgeführt werden können und welche Quellen vertrauenswürdig sind, wodurch das Ausführen von schädlichem, eingeschleustem Code verhindert wird.
Expect-CT	max-age=0	Der Header Expect-CT weist den Browser an, Anforderungen der Zertifikat-Transparenz zu akzeptieren. Er verhindert so die Nutzung missbräuchlich oder fehlerhaft ausgestellter Zertifikate.
Feature-Policy	accelerometer 'none'; camera 'none'; geolocation 'none'; gyroscope 'none'; magnetometer 'none'; microphone 'none'; payment 'none'; usb 'none'	Der Header Feature-Policy bestimmt, welche Funktionen oder APIs eines Browsers verwendet werden dürfen und welche nicht zulässig sind. Er erhöht die Sicherheit und den Datenschutz, indem die Angriffsfläche minimiert und ungenutzte Funktionen deaktiviert werden.
Referrer-Policy	no-referrer-when-downgrade	Der Header Referrer-Policy stellt sicher, dass Informationen über die Herkunft eines Website-Besuchers nur unter bestimmten Bedingungen gesendet werden dürfen. Er verhindert so, dass bspw. Passwörter in URLs oder Sitzungs-IDs an Drittanbieter weitergegeben werden.
Strict-Transport-Security	max-age=31536000; includeSubDomains	Die HTTP Strict Transport Security (HSTS) ist ein Sicherheitsmechanismus für HTTPS-Verbindungen, der sowohl vor Aushebelung der Verbindungs-verschlüsselung als auch vor Session-Hijacking schützt.
X-Content-Type-Options	nosniff	Der Header X-Content-Type-Options verhindert, dass ein Browser das MIME (Multipurpose Internet Mail Extensions)-Datenformat einer Datei errät und einen anderen Inhaltstyp verwendet als den, der vom Server vorgegeben ist.
X-Frame-Options	DENY (SAMEORIGIN) (ALLOW-FROM https://example.com/)	Der Header X-Frame-Options teilt dem Browser mit, ob dieser eine Webseite in einem <frame>, <iframe> oder <object> rendern, also einbetten, darf. Dadurch wird verhindert, dass Angreifer eine Seite in einem unsichtbaren Frame über einer gefälschten Website platzieren, um Besucher zu unbewussten Klicks zu verleiten.
X-XSS-Protection	1; mode=block	Der Header X-XSS-Protection kann Browsern untersagen eine Webseite zu laden, wenn schädlicher Inline-Code erkannt wird, der auf eine Cross-Site-Scripting (XSS)-Attacke hindeutet.

--- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://docs.enginsight.com/docs/knowledge-base/observer/welche-http-header-werden-durch-den-enginsight-observer-uberpruft.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.