Defaults.Exposed

Defaults.Exposed › گزارش‌ها

کارنامهٔ هدرهای امنیتی HTTP: وب در ۲۰۲۶ چه نمره‌ای می‌گیرد

منتشرشده 2026-06-29

ارقام تا تاریخ 2026-06-29 · روش‌شناسی v7. داده‌های سرشماری تجمیعی در میان 261 میلیون دامنه نمره‌گذاری‌شده. بررسی هدرها روی پاسخ‌هایی که توانستیم به آن‌ها دسترسی پیدا کنیم مشاهده می‌شود. ببینید چگونه نمره می‌دهیم.

هدرهای امنیتی HTTP از ارزان‌ترین دفاع‌های وب هستند — چند خط پیکربندی، بدون هزینه — و داده‌ها نشان می‌دهند که تقریباً به‌طور سراسری نادیده گرفته می‌شوند. در میان 261 میلیون دامنه، تنها 4.03% هر هدر اصلی را به‌درستی تنظیم می‌کنند. هر هدر یک حمله مشخص و واقعی را مسدود می‌کند — کلیک‌ربایی، تزریق محتوا، تنزل پروتکل، نشت ارجاع‌دهنده — و هر کدام از اکثریت بزرگ سایت‌ها غایب است.

کارنامه

بالاتر بهتر است — سهم دامنه‌هایی که هر هدر را به‌درستی تنظیم می‌کنند. تا تاریخ 2026-06-29:

هدرچه چیزی را متوقف می‌کنددامنه‌هایی که آن را تنظیم می‌کنند
HSTS (Strict-Transport-Security)تنزل از HTTPS به HTTP22.91% از سایت‌های HTTPS
Content-Security-Policyاسکریپت‌نویسی بین‌سایتی / تزریق محتوا8.87%
X-Frame-Options / frame-ancestorsکلیک‌ربایی14.48%
X-Content-Type-Options (nosniff)حملات اشتباه‌گیری نوع MIME16.65%
Referrer-Policyنشت URL بازدیدکنندگان به اشخاص ثالث10.10%
همه موارد بالا («امن به‌صورت پیش‌فرض»)مجموعه کامل4.03%

Content-Security-Policy — قوی‌ترین دفاع در برابر اسکریپت‌نویسی بین‌سایتی — شکست برجسته است: تنها 8.87% از دامنه‌ها یک نسخه مؤثر ارائه می‌دهند. و فقط 4.03% کل مجموعه را به‌درستی تنظیم می‌کنند.

چرا این‌قدر پایین، در حالی که رایگان‌اند؟

هدرها به‌طور پیش‌فرض توسط بیشتر سرورها و پلتفرم‌ها نصب نمی‌شوند، بنابراین فقط زمانی ظاهر می‌شوند که کسی عمداً آن‌ها را اضافه کند. هیچ هشدار ترسناکی برای نبودشان وجود ندارد — برخلاف یک گواهی منقضی، یک هدر گم‌شده برای مالک سایت و بازدیدکنندگان نامرئی است، درست تا لحظه‌ای که مورد سوءاستفاده قرار گیرد. همین نامرئی بودن دقیقاً دلیلی است که پذیرش برای مهم‌ترین هدرها در ارقام تک‌رقمی باقی مانده است.

کدام هدرها را باید در اولویت قرار دهم؟

برای بیشتر سایت‌ها، به ترتیب:

  1. HSTS — وقتی روی HTTPS هستید، آن را قفل کنید. رفع HSTS.
  2. محافظت در برابر کلیک‌ربایی — یک هدر تک‌خطی که از قاب‌گرفتن صفحات شما جلوگیری می‌کند. رفع کلیک‌ربایی.
  3. X-Content-Type-Options: nosniff و Referrer-Policy — افزودنشان بسیار ساده است. MIME-sniffing · Referrer-Policy.
  4. Content-Security-Policy — قدرتمندترین و پرکارترین؛ ارزش آن را دارد که با دقت انجام شود. رفع CSP.

پرسش‌های متداول

هدرهای امنیتی HTTP چیستند؟ دستورالعمل‌هایی که سرور با هر صفحه ارسال می‌کند و به مرورگر می‌گوید محافظت‌ها را اعمال کند — مسدود کردن قاب‌بندی، رد محتوای مختلط، محدود کردن اسکریپت‌ها. آن‌ها پیکربندی رایگان‌اند، نه نرم‌افزار.

چرا فقط 4.03% از وب همه آن‌ها را تنظیم می‌کنند؟ زیرا اختیاری و نامرئی‌اند. وقتی غایب باشند هیچ چیز خراب نمی‌شود یا هشدار نمی‌دهد، بنابراین بیشتر سایت‌ها هرگز آن‌ها را اضافه نمی‌کنند — تا زمانی که حمله‌ای از این شکاف سوءاستفاده کند.

مهم‌ترین هدر کدام است؟ HSTS و یک Content-Security-Policy بیشترین محافظت را می‌دهند. CSP قوی‌ترین دفاع در برابر اسکریپت‌نویسی بین‌سایتی است اما استقرار آن بیشترین دقت را می‌طلبد.

چگونه ببینم سایت من کدام هدرها را ندارد؟ یک بررسی رایگان و خصوصی اجرا کنید (در زیر) — هر هدر و این‌که آیا آن را تنظیم کرده‌اید فهرست می‌کند.

هدرهای امنیتی خود را رایگان بررسی کنید

کارنامه کامل هدرهای خود را ببینید — و دقیقاً چه چیزی را باید اضافه کنید — به‌صورت خصوصی و فقط برای مالک.

دامنه خود را بررسی کنید → · رفع CSP → · رفع HSTS → · چگونه نمره می‌دهیم → · فقط داده‌های تجمیعی. داده‌ها در اتحادیه اروپا ذخیره و پردازش می‌شوند.