Defaults.Exposed

Defaults.Exposed › Αναφορές

Ο έλεγχος κεφαλίδων ασφαλείας HTTP: Πώς βαθμολογείται ο Ιστός το 2026

Δημοσιεύτηκε 2026-06-29

Στοιχεία έως 2026-06-29 · μεθοδολογία v7. Συγκεντρωτικά δεδομένα απογραφής σε 261 εκατομμύρια βαθμολογημένους τομείς. Οι έλεγχοι κεφαλίδων παρατηρούνται στις αποκρίσεις που μπορέσαμε να προσεγγίσουμε. Δείτε πώς βαθμολογούμε.

Οι κεφαλίδες ασφαλείας HTTP είναι από τις φθηνότερες άμυνες στον ιστό — λίγες γραμμές διαμόρφωσης, χωρίς κόστος — και τα δεδομένα δείχνουν ότι παραλείπονται σχεδόν παντού. Σε 261 εκατομμύρια τομείς, μόνο 4.03% ρυθμίζουν σωστά κάθε βασική κεφαλίδα. Κάθε κεφαλίδα μπλοκάρει μια συγκεκριμένη, πραγματική επίθεση — clickjacking, ένεση περιεχομένου, υποβάθμιση πρωτοκόλλου, διαρροή referrer — και η καθεμία λείπει από τη μεγάλη πλειονότητα των ιστότοπων.

Ο πίνακας βαθμολογίας

Όσο υψηλότερα τόσο καλύτερα — το ποσοστό των τομέων που ρυθμίζουν σωστά κάθε κεφαλίδα. Έως 2026-06-29:

ΚεφαλίδαΤι σταματάΤομείς που τη ρυθμίζουν
HSTS (Strict-Transport-Security)Υποβάθμιση από HTTPS σε HTTP22.91% των ιστότοπων HTTPS
Content-Security-PolicyCross-site scripting / ένεση περιεχομένου8.87%
X-Frame-Options / frame-ancestorsClickjacking14.48%
X-Content-Type-Options (nosniff)Επιθέσεις σύγχυσης τύπου MIME16.65%
Referrer-PolicyΔιαρροή URL επισκεπτών σε τρίτους10.10%
Όλα τα παραπάνω («ασφαλές από προεπιλογή»)Το πλήρες σύνολο4.03%

Content-Security-Policy — η ισχυρότερη άμυνα ενάντια στο cross-site scripting — είναι η κορυφαία αποτυχία: μόνο 8.87% των τομέων παρέχουν μια αποτελεσματική. Και μόλις 4.03% ρυθμίζουν σωστά ολόκληρο το σύνολο.

Γιατί τόσο χαμηλά, ενώ είναι δωρεάν;

Οι κεφαλίδες δεν εγκαθίστανται από προεπιλογή από τους περισσότερους διακομιστές και πλατφόρμες, οπότε εμφανίζονται μόνο όταν κάποιος τις προσθέσει σκόπιμα. Δεν υπάρχει τρομακτική προειδοποίηση για την απουσία τους — σε αντίθεση με ένα ληγμένο πιστοποιητικό, μια κεφαλίδα που λείπει είναι αόρατη στον ιδιοκτήτη του ιστότοπου και στους επισκέπτες, μέχρι τη στιγμή που γίνεται αντικείμενο εκμετάλλευσης. Αυτή ακριβώς η αορατότητα είναι ο λόγος που η υιοθέτηση παραμένει σε μονοψήφια νούμερα για τις κεφαλίδες που έχουν τη μεγαλύτερη σημασία.

Ποιες κεφαλίδες πρέπει να δώσω προτεραιότητα;

Για τους περισσότερους ιστότοπους, με σειρά:

  1. HSTS — μόλις είστε σε HTTPS, κλειδώστε το. Διόρθωση HSTS.
  2. Προστασία από clickjacking — μια κεφαλίδα μίας γραμμής που εμποδίζει τις σελίδες σας να μπαίνουν σε πλαίσιο. Διόρθωση clickjacking.
  3. X-Content-Type-Options: nosniff και Referrer-Policy — προστίθενται ασήμαντα εύκολα. MIME-sniffing · Referrer-Policy.
  4. Content-Security-Policy — η ισχυρότερη και η πιο απαιτητική· αξίζει να γίνει προσεκτικά. Διόρθωση CSP.

Συχνές ερωτήσεις

Τι είναι οι κεφαλίδες ασφαλείας HTTP; Οδηγίες που στέλνει ένας διακομιστής με κάθε σελίδα, λέγοντας στο πρόγραμμα περιήγησης να επιβάλει προστασίες — να μπλοκάρει το πλαίσιο, να αρνηθεί το μεικτό περιεχόμενο, να περιορίσει τα σενάρια. Είναι δωρεάν διαμόρφωση, όχι λογισμικό.

Γιατί μόνο το 4.03% του ιστού τις ρυθμίζει όλες; Επειδή είναι προαιρετικές και αόρατες. Τίποτα δεν χαλάει ή δεν προειδοποιεί όταν λείπουν, οπότε οι περισσότεροι ιστότοποι δεν τις προσθέτουν ποτέ — μέχρι μια επίθεση να εκμεταλλευτεί το κενό.

Ποια είναι η πιο σημαντική κεφαλίδα; Το HSTS και ένα Content-Security-Policy παρέχουν τη μεγαλύτερη προστασία. Το CSP είναι η ισχυρότερη άμυνα ενάντια στο cross-site scripting αλλά απαιτεί τη μεγαλύτερη προσοχή για την ανάπτυξη.

Πώς βλέπω ποιες κεφαλίδες λείπουν από τον ιστότοπό μου; Εκτελέστε έναν δωρεάν, ιδιωτικό έλεγχο (παρακάτω) — παραθέτει κάθε κεφαλίδα και αν την έχετε ρυθμίσει.

Ελέγξτε δωρεάν τις κεφαλίδες ασφαλείας σας

Δείτε τον πλήρη πίνακα βαθμολογίας των κεφαλίδων σας — και ακριβώς τι να προσθέσετε — ιδιωτικά και μόνο για τον ιδιοκτήτη.

Ελέγξτε τον τομέα σας → · Διόρθωση CSP → · Διόρθωση HSTS → · Πώς βαθμολογούμε → · Μόνο συγκεντρωτικά δεδομένα. Δεδομένα που αποθηκεύονται και επεξεργάζονται στην ΕΕ.