Defaults.Exposed › Zprávy
Vysvědčení bezpečnostních hlaviček HTTP: Jak si web vede v roce 2026
Publikováno 2026-06-29
Údaje k 2026-06-29 · metodika v7. Agregovaná data sčítání napříč 261 miliony ohodnocených domén. Kontroly hlaviček jsou pozorovány na odpovědích, k nimž jsme se dostali. Viz jak hodnotíme.
Bezpečnostní HTTP hlavičky patří k nejlevnějším obranám na webu — pár řádků konfigurace, žádné náklady — a data ukazují, že se téměř všeobecně vynechávají. Napříč 261 miliony domén nastavuje každou klíčovou hlavičku správně jen 4.03%. Každá hlavička blokuje konkrétní, reálný útok — clickjacking, vkládání obsahu, snížení úrovně protokolu, únik referreru — a každá chybí na drtivé většině webů.
Vysvědčení
Vyšší je lepší — podíl domén, které každou hlavičku nastavují správně. K 2026-06-29:
| Hlavička | Co zastaví | Domény, které ji nastavují |
|---|---|---|
| HSTS (Strict-Transport-Security) | Snížení z HTTPS na HTTP | 22.91% webů HTTPS |
| Content-Security-Policy | Cross-site scripting / vkládání obsahu | 8.87% |
| X-Frame-Options / frame-ancestors | Clickjacking | 14.48% |
| X-Content-Type-Options (nosniff) | Útoky na záměnu typu MIME | 16.65% |
| Referrer-Policy | Únik URL návštěvníků třetím stranám | 10.10% |
| Vše výše uvedené („bezpečné ve výchozím stavu”) | Celá sada | 4.03% |
Content-Security-Policy — nejsilnější obrana proti cross-site scriptingu — je hlavním selháním: účinnou dodává jen 8.87% domén. A celou sadu má správně jen 4.03%.
Proč tak málo, když jsou zdarma?
Většina serverů a platforem hlavičky ve výchozím stavu neinstaluje, takže se objeví jen tehdy, když je někdo záměrně přidá. Za jejich absenci nepřijde žádné děsivé varování — na rozdíl od prošlého certifikátu je chybějící hlavička pro vlastníka webu i pro návštěvníky neviditelná, až do okamžiku zneužití. Právě tato neviditelnost je důvod, proč se míra nasazení u nejdůležitějších hlaviček drží v řádu jednotek procent.
Kterým hlavičkám mám dát přednost?
U většiny webů, v pořadí:
- HSTS — jakmile jste na HTTPS, zamkněte to. Opravit HSTS.
- Ochrana proti clickjackingu — jednořádková hlavička, která zabrání vkládání vašich stránek do rámců. Opravit clickjacking.
- X-Content-Type-Options: nosniff a Referrer-Policy — triviální na přidání. MIME-sniffing · Referrer-Policy.
- Content-Security-Policy — nejmocnější a nejvíce práce; vyplatí se ji udělat pečlivě. Opravit CSP.
Často kladené dotazy
Co jsou bezpečnostní HTTP hlavičky? Pokyny, které server posílá s každou stránkou a které prohlížeči říkají, aby vynutil ochrany — zablokovat vkládání do rámců, odmítnout smíšený obsah, omezit skripty. Jde o bezplatnou konfiguraci, ne o software.
Proč je všechny nastavuje jen 4.03% webu? Protože jsou dobrovolné a neviditelné. Když chybí, nic se nerozbije ani nevaruje, takže je většina webů nikdy nepřidá — dokud útok tu mezeru nezneužije.
Která hlavička je nejdůležitější? Největší ochranu poskytují HSTS a Content-Security-Policy. CSP je nejsilnější obrana proti cross-site scriptingu, ale její nasazení vyžaduje největší pečlivost.
Jak zjistím, které hlavičky mému webu chybí? Spusťte bezplatnou, soukromou kontrolu (níže) — vypíše každou hlavičku a zda jste ji nastavili.
Zkontrolujte své bezpečnostní hlavičky zdarma
Prohlédněte si své kompletní vysvědčení hlaviček — a přesně to, co přidat — soukromě a jen pro vlastníka.
Zkontrolujte svou doménu → · Opravit CSP → · Opravit HSTS → · Jak hodnotíme → · Pouze agregovaná data. Data uložena a zpracována v EU.