Defaults.Exposed › Rapporter
Karakterbogen for HTTP-sikkerhedsheadere: Sådan scorer nettet i 2026
Udgivet 2026-06-29
Tal pr. 2026-06-29 · metodologi v7. Aggregerede folketællingsdata på tværs af 261 millioner bedømte domæner. Header-tjek observeres på de svar, vi kunne nå. Se hvordan vi bedømmer.
HTTP-sikkerhedsheaders er blandt de billigste forsvar på nettet — et par linjers konfiguration, ingen omkostning — og data viser, at de næsten altid springes over. På tværs af 261 millioner domæner sætter kun 4.03% hver kerneheader korrekt. Hver header blokerer et specifikt, reelt angreb — clickjacking, indholdsinjektion, protokolnedgradering, referrer-læk — og hver enkelt mangler på det store flertal af websteder.
Karakterbogen
Højere er bedre — andelen af domæner, der sætter hver header korrekt. Pr. 2026-06-29:
| Header | Hvad den stopper | Domæner, der sætter den |
|---|---|---|
| HSTS (Strict-Transport-Security) | Nedgradering fra HTTPS til HTTP | 22.91% af HTTPS-websteder |
| Content-Security-Policy | Cross-site scripting / indholdsinjektion | 8.87% |
| X-Frame-Options / frame-ancestors | Clickjacking | 14.48% |
| X-Content-Type-Options (nosniff) | Angreb med forveksling af MIME-type | 16.65% |
| Referrer-Policy | Lækage af besøgendes URL’er til tredjeparter | 10.10% |
| Alle ovenstående (“sikker som standard”) | Hele sættet | 4.03% |
Content-Security-Policy — det stærkeste forsvar mod cross-site scripting — er den store fiasko: kun 8.87% af domænerne leverer en effektiv. Og kun 4.03% får hele sættet rigtigt.
Hvorfor så lavt, når de er gratis?
De fleste servere og platforme installerer ikke headers som standard, så de dukker kun op, når nogen bevidst tilføjer dem. Der er ingen skræmmende advarsel, når de mangler — i modsætning til et udløbet certifikat er en manglende header usynlig for webstedsejeren og for de besøgende, lige indtil den udnyttes. Netop den usynlighed er årsagen til, at udbredelsen ligger i de enkelte procenter for de headers, der betyder mest.
Hvilke headers bør jeg prioritere?
For de fleste websteder, i rækkefølge:
- HSTS — så snart du er på HTTPS, lås det fast. Ret HSTS.
- Clickjacking-beskyttelse — en header på én linje, der forhindrer, at dine sider sættes i rammer. Ret clickjacking.
- X-Content-Type-Options: nosniff og Referrer-Policy — trivielle at tilføje. MIME-sniffing · Referrer-Policy.
- Content-Security-Policy — den mest kraftfulde og den mest arbejdskrævende; værd at gøre omhyggeligt. Ret CSP.
Ofte stillede spørgsmål
Hvad er HTTP-sikkerhedsheaders? Instruktioner, som en server sender med hver side, og som beder browseren håndhæve beskyttelser — blokere rammer, afvise blandet indhold, begrænse scripts. Det er gratis konfiguration, ikke software.
Hvorfor sætter kun 4.03% af nettet dem alle? Fordi de er tilvalg og usynlige. Intet går i stykker eller advarer, når de mangler, så de fleste websteder tilføjer dem aldrig — indtil et angreb udnytter hullet.
Hvilken header er den vigtigste? HSTS og en Content-Security-Policy giver mest beskyttelse. CSP er det stærkeste forsvar mod cross-site scripting, men kræver mest omhu at implementere.
Hvordan ser jeg, hvilke headers mit websted mangler? Kør et gratis, privat tjek (nedenfor) — det viser hver header, og om du har sat den.
Tjek dine sikkerhedsheaders gratis
Se hele din header-karakterbog — og præcis hvad du skal tilføje — privat og kun for ejeren.
Tjek dit domæne → · Ret CSP → · Ret HSTS → · Hvordan vi bedømmer → · Kun aggregerede data. Data lagres og behandles i EU.