Defaults.Exposed › Доклади
Бележникът за HTTP заглавките за сигурност: Как се справя уебът през 2026 г.
Публикувано 2026-06-29
Данни към 2026-06-29 · методология v7. Обобщени данни от преброяването в 261 милиона оценени домейна. Проверките на заглавките се наблюдават в отговорите, до които можехме да достигнем. Вижте как оценяваме.
HTTP заглавките за сигурност са сред най-евтините защити в уеба — няколко реда конфигурация, без разход — и данните показват, че се пропускат почти навсякъде. От 261 милиона домейна, само 4.03% задават всички основни заглавки правилно. Всяка заглавка блокира конкретна, реална атака — clickjacking, инжектиране на съдържание, понижаване на протокола, изтичане на препращащ адрес — и всяка от тях липсва при огромното мнозинство сайтове.
Бележникът
По-висок е по-добър — делът на домейните, задаващи всяка заглавка правилно. Към 2026-06-29:
| Заглавка | Какво спира | Домейни, които я задават |
|---|---|---|
| HSTS (Strict-Transport-Security) | Понижаване от HTTPS към HTTP | 22.91% от HTTPS сайтовете |
| Content-Security-Policy | Скриптиране между сайтове / инжектиране на съдържание | 8.87% |
| X-Frame-Options / frame-ancestors | Clickjacking | 14.48% |
| X-Content-Type-Options (nosniff) | Атаки чрез объркване на MIME типа | 16.65% |
| Referrer-Policy | Изтичане на URL адреси на посетители към трети страни | 10.10% |
| Всичките изброени („сигурни по подразбиране”) | Пълният набор | 4.03% |
Content-Security-Policy — най-силната защита срещу скриптиране между сайтове — е главният пропуск: само 8.87% от домейните доставят ефективна такава. И само 4.03% получават целия набор правилно.
Защо е толкова ниско, след като са безплатни?
Заглавките не се инсталират по подразбиране от повечето сървъри и платформи, така че се появяват само когато някой ги добави съзнателно. Няма страшно предупреждение за липсата им — за разлика от изтекъл сертификат, липсваща заглавка е невидима за собственика и посетителите на сайта, докато не бъде използвана злонамерено. Точно тази невидимост е причината приемането да е в единични цифри за заглавките с най-голямо значение.
Кои заглавки трябва да приоритизирам?
За повечето сайтове, по ред:
- HSTS — щом сте на HTTPS, заключете го. Поправете HSTS.
- Защита срещу clickjacking — едноредова заглавка, която спира включването на страниците ви в рамки. Поправете clickjacking.
- X-Content-Type-Options: nosniff и Referrer-Policy — тривиални за добавяне. MIME-sniffing · Referrer-Policy.
- Content-Security-Policy — най-мощна и изисква най-много работа; заслужава да се направи внимателно. Поправете CSP.
Често задавани въпроси
Какво представляват HTTP заглавките за сигурност? Инструкции, които сървърът изпраща с всяка страница, казвайки на браузъра да прилага защити — блокиране на включване в рамки, отказ на смесено съдържание, ограничаване на скриптове. Те са безплатна конфигурация, не софтуер.
Защо само 4.03% от уеба ги задава всичките? Защото са включени при заявка и са невидими. Нищо не се нарушава и не предупреждава при липсата им, така че повечето сайтове никога не ги добавят — докато атака не се възползва от пропуска.
Коя е най-важната заглавка? HSTS и Content-Security-Policy дават най-много защита. CSP е най-силната защита срещу скриптиране между сайтове, но изисква най-много внимание при разгръщането.
Как да видя кои заглавки липсват на моя сайт? Направете безплатна, частна проверка (по-долу) — тя изброява всяка заглавка и дали сте я задали.
Проверете заглавките си за сигурност безплатно
Вижте пълния ви бележник за заглавките — и точно какво трябва да добавите — частно и само за собственика.
Проверете вашия домейн → · Поправете CSP → · Поправете HSTS → · Как оценяваме → · Само обобщени данни. Данните се съхраняват и обработват в ЕС.