Defaults.Exposed

Defaults.Exposed › Zprávy

Vysvědčení bezpečnostních hlaviček HTTP: Jak si web vede v roce 2026

Publikováno 2026-06-29

Údaje k 2026-06-29 · metodika v7. Agregovaná data sčítání napříč 261 miliony ohodnocených domén. Kontroly hlaviček jsou pozorovány na odpovědích, k nimž jsme se dostali. Viz jak hodnotíme.

Bezpečnostní HTTP hlavičky patří k nejlevnějším obranám na webu — pár řádků konfigurace, žádné náklady — a data ukazují, že se téměř všeobecně vynechávají. Napříč 261 miliony domén nastavuje každou klíčovou hlavičku správně jen 4.03%. Každá hlavička blokuje konkrétní, reálný útok — clickjacking, vkládání obsahu, snížení úrovně protokolu, únik referreru — a každá chybí na drtivé většině webů.

Vysvědčení

Vyšší je lepší — podíl domén, které každou hlavičku nastavují správně. K 2026-06-29:

HlavičkaCo zastavíDomény, které ji nastavují
HSTS (Strict-Transport-Security)Snížení z HTTPS na HTTP22.91% webů HTTPS
Content-Security-PolicyCross-site scripting / vkládání obsahu8.87%
X-Frame-Options / frame-ancestorsClickjacking14.48%
X-Content-Type-Options (nosniff)Útoky na záměnu typu MIME16.65%
Referrer-PolicyÚnik URL návštěvníků třetím stranám10.10%
Vše výše uvedené („bezpečné ve výchozím stavu”)Celá sada4.03%

Content-Security-Policy — nejsilnější obrana proti cross-site scriptingu — je hlavním selháním: účinnou dodává jen 8.87% domén. A celou sadu má správně jen 4.03%.

Proč tak málo, když jsou zdarma?

Většina serverů a platforem hlavičky ve výchozím stavu neinstaluje, takže se objeví jen tehdy, když je někdo záměrně přidá. Za jejich absenci nepřijde žádné děsivé varování — na rozdíl od prošlého certifikátu je chybějící hlavička pro vlastníka webu i pro návštěvníky neviditelná, až do okamžiku zneužití. Právě tato neviditelnost je důvod, proč se míra nasazení u nejdůležitějších hlaviček drží v řádu jednotek procent.

Kterým hlavičkám mám dát přednost?

U většiny webů, v pořadí:

  1. HSTS — jakmile jste na HTTPS, zamkněte to. Opravit HSTS.
  2. Ochrana proti clickjackingu — jednořádková hlavička, která zabrání vkládání vašich stránek do rámců. Opravit clickjacking.
  3. X-Content-Type-Options: nosniff a Referrer-Policy — triviální na přidání. MIME-sniffing · Referrer-Policy.
  4. Content-Security-Policy — nejmocnější a nejvíce práce; vyplatí se ji udělat pečlivě. Opravit CSP.

Často kladené dotazy

Co jsou bezpečnostní HTTP hlavičky? Pokyny, které server posílá s každou stránkou a které prohlížeči říkají, aby vynutil ochrany — zablokovat vkládání do rámců, odmítnout smíšený obsah, omezit skripty. Jde o bezplatnou konfiguraci, ne o software.

Proč je všechny nastavuje jen 4.03% webu? Protože jsou dobrovolné a neviditelné. Když chybí, nic se nerozbije ani nevaruje, takže je většina webů nikdy nepřidá — dokud útok tu mezeru nezneužije.

Která hlavička je nejdůležitější? Největší ochranu poskytují HSTS a Content-Security-Policy. CSP je nejsilnější obrana proti cross-site scriptingu, ale její nasazení vyžaduje největší pečlivost.

Jak zjistím, které hlavičky mému webu chybí? Spusťte bezplatnou, soukromou kontrolu (níže) — vypíše každou hlavičku a zda jste ji nastavili.

Zkontrolujte své bezpečnostní hlavičky zdarma

Prohlédněte si své kompletní vysvědčení hlaviček — a přesně to, co přidat — soukromě a jen pro vlastníka.

Zkontrolujte svou doménu → · Opravit CSP → · Opravit HSTS → · Jak hodnotíme → · Pouze agregovaná data. Data uložena a zpracována v EU.