Defaults.Exposed

Defaults.Exposed › Доклади

Бележникът за HTTP заглавките за сигурност: Как се справя уебът през 2026 г.

Публикувано 2026-06-29

Данни към 2026-06-29 · методология v7. Обобщени данни от преброяването в 261 милиона оценени домейна. Проверките на заглавките се наблюдават в отговорите, до които можехме да достигнем. Вижте как оценяваме.

HTTP заглавките за сигурност са сред най-евтините защити в уеба — няколко реда конфигурация, без разход — и данните показват, че се пропускат почти навсякъде. От 261 милиона домейна, само 4.03% задават всички основни заглавки правилно. Всяка заглавка блокира конкретна, реална атака — clickjacking, инжектиране на съдържание, понижаване на протокола, изтичане на препращащ адрес — и всяка от тях липсва при огромното мнозинство сайтове.

Бележникът

По-висок е по-добър — делът на домейните, задаващи всяка заглавка правилно. Към 2026-06-29:

ЗаглавкаКакво спираДомейни, които я задават
HSTS (Strict-Transport-Security)Понижаване от HTTPS към HTTP22.91% от HTTPS сайтовете
Content-Security-PolicyСкриптиране между сайтове / инжектиране на съдържание8.87%
X-Frame-Options / frame-ancestorsClickjacking14.48%
X-Content-Type-Options (nosniff)Атаки чрез объркване на MIME типа16.65%
Referrer-PolicyИзтичане на URL адреси на посетители към трети страни10.10%
Всичките изброени („сигурни по подразбиране”)Пълният набор4.03%

Content-Security-Policy — най-силната защита срещу скриптиране между сайтове — е главният пропуск: само 8.87% от домейните доставят ефективна такава. И само 4.03% получават целия набор правилно.

Защо е толкова ниско, след като са безплатни?

Заглавките не се инсталират по подразбиране от повечето сървъри и платформи, така че се появяват само когато някой ги добави съзнателно. Няма страшно предупреждение за липсата им — за разлика от изтекъл сертификат, липсваща заглавка е невидима за собственика и посетителите на сайта, докато не бъде използвана злонамерено. Точно тази невидимост е причината приемането да е в единични цифри за заглавките с най-голямо значение.

Кои заглавки трябва да приоритизирам?

За повечето сайтове, по ред:

  1. HSTS — щом сте на HTTPS, заключете го. Поправете HSTS.
  2. Защита срещу clickjacking — едноредова заглавка, която спира включването на страниците ви в рамки. Поправете clickjacking.
  3. X-Content-Type-Options: nosniff и Referrer-Policy — тривиални за добавяне. MIME-sniffing · Referrer-Policy.
  4. Content-Security-Policy — най-мощна и изисква най-много работа; заслужава да се направи внимателно. Поправете CSP.

Често задавани въпроси

Какво представляват HTTP заглавките за сигурност? Инструкции, които сървърът изпраща с всяка страница, казвайки на браузъра да прилага защити — блокиране на включване в рамки, отказ на смесено съдържание, ограничаване на скриптове. Те са безплатна конфигурация, не софтуер.

Защо само 4.03% от уеба ги задава всичките? Защото са включени при заявка и са невидими. Нищо не се нарушава и не предупреждава при липсата им, така че повечето сайтове никога не ги добавят — докато атака не се възползва от пропуска.

Коя е най-важната заглавка? HSTS и Content-Security-Policy дават най-много защита. CSP е най-силната защита срещу скриптиране между сайтове, но изисква най-много внимание при разгръщането.

Как да видя кои заглавки липсват на моя сайт? Направете безплатна, частна проверка (по-долу) — тя изброява всяка заглавка и дали сте я задали.

Проверете заглавките си за сигурност безплатно

Вижте пълния ви бележник за заглавките — и точно какво трябва да добавите — частно и само за собственика.

Проверете вашия домейн → · Поправете CSP → · Поправете HSTS → · Как оценяваме → · Само обобщени данни. Данните се съхраняват и обработват в ЕС.