Defaults.Exposed › گزارشها
کارنامهٔ هدرهای امنیتی HTTP: وب در ۲۰۲۶ چه نمرهای میگیرد
منتشرشده 2026-06-29
ارقام تا تاریخ 2026-06-29 · روششناسی v7. دادههای سرشماری تجمیعی در میان 261 میلیون دامنه نمرهگذاریشده. بررسی هدرها روی پاسخهایی که توانستیم به آنها دسترسی پیدا کنیم مشاهده میشود. ببینید چگونه نمره میدهیم.
هدرهای امنیتی HTTP از ارزانترین دفاعهای وب هستند — چند خط پیکربندی، بدون هزینه — و دادهها نشان میدهند که تقریباً بهطور سراسری نادیده گرفته میشوند. در میان 261 میلیون دامنه، تنها 4.03% هر هدر اصلی را بهدرستی تنظیم میکنند. هر هدر یک حمله مشخص و واقعی را مسدود میکند — کلیکربایی، تزریق محتوا، تنزل پروتکل، نشت ارجاعدهنده — و هر کدام از اکثریت بزرگ سایتها غایب است.
کارنامه
بالاتر بهتر است — سهم دامنههایی که هر هدر را بهدرستی تنظیم میکنند. تا تاریخ 2026-06-29:
| هدر | چه چیزی را متوقف میکند | دامنههایی که آن را تنظیم میکنند |
|---|---|---|
| HSTS (Strict-Transport-Security) | تنزل از HTTPS به HTTP | 22.91% از سایتهای HTTPS |
| Content-Security-Policy | اسکریپتنویسی بینسایتی / تزریق محتوا | 8.87% |
| X-Frame-Options / frame-ancestors | کلیکربایی | 14.48% |
| X-Content-Type-Options (nosniff) | حملات اشتباهگیری نوع MIME | 16.65% |
| Referrer-Policy | نشت URL بازدیدکنندگان به اشخاص ثالث | 10.10% |
| همه موارد بالا («امن بهصورت پیشفرض») | مجموعه کامل | 4.03% |
Content-Security-Policy — قویترین دفاع در برابر اسکریپتنویسی بینسایتی — شکست برجسته است: تنها 8.87% از دامنهها یک نسخه مؤثر ارائه میدهند. و فقط 4.03% کل مجموعه را بهدرستی تنظیم میکنند.
چرا اینقدر پایین، در حالی که رایگاناند؟
هدرها بهطور پیشفرض توسط بیشتر سرورها و پلتفرمها نصب نمیشوند، بنابراین فقط زمانی ظاهر میشوند که کسی عمداً آنها را اضافه کند. هیچ هشدار ترسناکی برای نبودشان وجود ندارد — برخلاف یک گواهی منقضی، یک هدر گمشده برای مالک سایت و بازدیدکنندگان نامرئی است، درست تا لحظهای که مورد سوءاستفاده قرار گیرد. همین نامرئی بودن دقیقاً دلیلی است که پذیرش برای مهمترین هدرها در ارقام تکرقمی باقی مانده است.
کدام هدرها را باید در اولویت قرار دهم؟
برای بیشتر سایتها، به ترتیب:
- HSTS — وقتی روی HTTPS هستید، آن را قفل کنید. رفع HSTS.
- محافظت در برابر کلیکربایی — یک هدر تکخطی که از قابگرفتن صفحات شما جلوگیری میکند. رفع کلیکربایی.
- X-Content-Type-Options: nosniff و Referrer-Policy — افزودنشان بسیار ساده است. MIME-sniffing · Referrer-Policy.
- Content-Security-Policy — قدرتمندترین و پرکارترین؛ ارزش آن را دارد که با دقت انجام شود. رفع CSP.
پرسشهای متداول
هدرهای امنیتی HTTP چیستند؟ دستورالعملهایی که سرور با هر صفحه ارسال میکند و به مرورگر میگوید محافظتها را اعمال کند — مسدود کردن قاببندی، رد محتوای مختلط، محدود کردن اسکریپتها. آنها پیکربندی رایگاناند، نه نرمافزار.
چرا فقط 4.03% از وب همه آنها را تنظیم میکنند؟ زیرا اختیاری و نامرئیاند. وقتی غایب باشند هیچ چیز خراب نمیشود یا هشدار نمیدهد، بنابراین بیشتر سایتها هرگز آنها را اضافه نمیکنند — تا زمانی که حملهای از این شکاف سوءاستفاده کند.
مهمترین هدر کدام است؟ HSTS و یک Content-Security-Policy بیشترین محافظت را میدهند. CSP قویترین دفاع در برابر اسکریپتنویسی بینسایتی است اما استقرار آن بیشترین دقت را میطلبد.
چگونه ببینم سایت من کدام هدرها را ندارد؟ یک بررسی رایگان و خصوصی اجرا کنید (در زیر) — هر هدر و اینکه آیا آن را تنظیم کردهاید فهرست میکند.
هدرهای امنیتی خود را رایگان بررسی کنید
کارنامه کامل هدرهای خود را ببینید — و دقیقاً چه چیزی را باید اضافه کنید — بهصورت خصوصی و فقط برای مالک.
دامنه خود را بررسی کنید → · رفع CSP → · رفع HSTS → · چگونه نمره میدهیم → · فقط دادههای تجمیعی. دادهها در اتحادیه اروپا ذخیره و پردازش میشوند.