Defaults.Exposed › التقارير
بطاقة تقييم ترويسات أمان HTTP: كيف يُقيَّم الويب في 2026
نُشر 2026-06-29
الأرقام بتاريخ 2026-06-29 · المنهجية v7. بيانات إحصائية مجمَّعة عبر 261 مليون نطاق تم تقييمه. تُرصد فحوص الترويسات على الاستجابات التي تمكنّا من الوصول إليها. اطّلع على كيف نقيّم.
تُعدّ ترويسات أمان HTTP من أرخص وسائل الدفاع على الويب — بضعة أسطر من الإعدادات، بلا تكلفة — وتُظهر البيانات أنها تُتجاهَل بشكل شبه كامل. عبر 261 مليون نطاق، يضبط 4.03% فقط كل ترويسة أساسية بشكل صحيح. تحجب كل ترويسة هجومًا محددًا وحقيقيًا — اختطاف النقر، حقن المحتوى، خفض البروتوكول، تسريب المُحيل — وكل واحدة منها مفقودة في الغالبية العظمى من المواقع.
بطاقة التقييم
كلما ارتفع كان أفضل — نسبة النطاقات التي تضبط كل ترويسة بشكل صحيح. بتاريخ 2026-06-29:
| الترويسة | ما الذي توقفه | النطاقات التي تضبطها |
|---|---|---|
| HSTS (Strict-Transport-Security) | الخفض من HTTPS إلى HTTP | 22.91% من مواقع HTTPS |
| Content-Security-Policy | البرمجة عبر المواقع / حقن المحتوى | 8.87% |
| X-Frame-Options / frame-ancestors | اختطاف النقر | 14.48% |
| X-Content-Type-Options (nosniff) | هجمات الخلط في نوع MIME | 16.65% |
| Referrer-Policy | تسريب عناوين URL للزوار إلى أطراف ثالثة | 10.10% |
| كل ما سبق (“آمن افتراضيًا”) | المجموعة الكاملة | 4.03% |
Content-Security-Policy — أقوى دفاع ضد البرمجة عبر المواقع — هو الإخفاق الأبرز: إذ يوفّر 8.87% فقط من النطاقات سياسة فعّالة. ولا يضبط المجموعة كاملةً بشكل صحيح سوى 4.03%.
لماذا هذه النسبة منخفضة جدًا، وهي مجانية؟
لا تُثبِّت معظم الخوادم والمنصّات الترويسات افتراضيًا، لذا لا تظهر إلا عندما يضيفها أحدهم عمدًا. لا يوجد تحذير مُخيف عند غيابها — فعلى خلاف الشهادة المنتهية، تكون الترويسة المفقودة غير مرئية لمالك الموقع وللزوار، حتى لحظة استغلالها. وهذا الخفاء بالضبط هو سبب بقاء معدّل التبنّي في خانة الآحاد بالنسبة لأهم الترويسات.
أي الترويسات ينبغي أن أعطيها الأولوية؟
بالنسبة لمعظم المواقع، بالترتيب:
- HSTS — بمجرد انتقالك إلى HTTPS، ثبِّته. إصلاح HSTS.
- الحماية من اختطاف النقر — ترويسة من سطر واحد تمنع وضع صفحاتك داخل إطارات. إصلاح اختطاف النقر.
- X-Content-Type-Options: nosniff وReferrer-Policy — إضافتهما بسيطة جدًا. تخمين MIME · Referrer-Policy.
- Content-Security-Policy — الأقوى والأكثر جهدًا؛ يستحق إنجازه بعناية. إصلاح CSP.
الأسئلة الشائعة
ما هي ترويسات أمان HTTP؟ تعليمات يرسلها الخادم مع كل صفحة تخبر المتصفح بفرض وسائل حماية — حجب التأطير، رفض المحتوى المختلط، تقييد البرامج النصية. إنها إعدادات مجانية، وليست برمجيات.
لماذا يضبطها بالكامل 4.03% فقط من الويب؟ لأنها اختيارية وغير مرئية. لا شيء يتعطّل أو يُحذِّر عند غيابها، لذا لا تضيفها معظم المواقع أبدًا — حتى يستغل أحد الهجمات الثغرة.
ما أهم ترويسة؟ يمنح HSTS وسياسة Content-Security-Policy أكبر قدر من الحماية. وCSP هو أقوى دفاع ضد البرمجة عبر المواقع، لكنه يتطلب أكبر قدر من العناية عند نشره.
كيف أرى الترويسات المفقودة من موقعي؟ شغّل فحصًا مجانيًا وخاصًا (في الأسفل) — يسرد كل ترويسة وما إذا كنت قد ضبطتها.
افحص ترويسات الأمان لديك مجانًا
اطّلع على بطاقة تقييم ترويساتك الكاملة — وعلى ما ينبغي إضافته بالضبط — بشكل خاص ومقصور على المالك.
افحص نطاقك → · إصلاح CSP → · إصلاح HSTS → · كيف نقيّم → · بيانات مجمَّعة فقط. تُخزَّن البيانات وتُعالَج داخل الاتحاد الأوروبي.