Defaults.Exposed › Raportit
HTTP-turvaotsakkeiden todistus: kuinka verkko pärjää vuonna 2026
Julkaistu 2026-06-29
Luvut tilanteessa 2026-06-29 · menetelmä v7. Yhdistettyä väestönlaskentadataa 261 miljoonan arvioidun verkkotunnuksen joukosta. Otsaketarkistukset havaitaan vastauksista, joihin pääsimme käsiksi. Katso miten arvioimme.
HTTP-suojausotsakkeet ovat verkon halvimpia puolustuksia — muutama rivi asetuksia, ei kustannuksia — ja data osoittaa, että ne jätetään lähes poikkeuksetta pois. 261 miljoonan verkkotunnuksen joukossa vain 4.03% asettaa jokaisen keskeisen otsakkeen oikein. Jokainen otsake estää tietyn, todellisen hyökkäyksen — clickjacking, sisällön injektio, protokollan alentaminen, viittaajan vuotaminen — ja kukin puuttuu valtaosalta sivustoja.
Arvostelukortti
Korkeampi on parempi — niiden verkkotunnusten osuus, jotka asettavat kunkin otsakkeen oikein. Tilanteessa 2026-06-29:
| Otsake | Mitä se estää | Verkkotunnukset, jotka asettavat sen |
|---|---|---|
| HSTS (Strict-Transport-Security) | Alentaminen HTTPS:stä HTTP:hen | 22.91% HTTPS-sivustoista |
| Content-Security-Policy | Cross-site scripting / sisällön injektio | 8.87% |
| X-Frame-Options / frame-ancestors | Clickjacking | 14.48% |
| X-Content-Type-Options (nosniff) | MIME-tyypin sekaannushyökkäykset | 16.65% |
| Referrer-Policy | Kävijöiden URL-osoitteiden vuotaminen kolmansille | 10.10% |
| Kaikki edellä mainitut (”oletuksena turvallinen”) | Koko joukko | 4.03% |
Content-Security-Policy — vahvin puolustus cross-site scriptingiä vastaan — on otsikkotason epäonnistuminen: vain 8.87% verkkotunnuksista toimittaa tehokkaan. Ja vain 4.03% saa koko joukon oikein.
Miksi näin vähän, kun ne ovat ilmaisia?
Useimmat palvelimet ja alustat eivät asenna otsakkeita oletuksena, joten ne ilmestyvät vain, kun joku lisää ne tarkoituksella. Niiden puuttumisesta ei tule pelottavaa varoitusta — toisin kuin vanhentuneen varmenteen kohdalla, puuttuva otsake on näkymätön sivuston omistajalle ja kävijöille aina siihen asti, kunnes sitä hyödynnetään. Juuri tuo näkymättömyys on syy siihen, miksi käyttöönotto on yksinumeroista tärkeimpien otsakkeiden osalta.
Mitä otsakkeita minun pitäisi priorisoida?
Useimmille sivustoille, järjestyksessä:
- HSTS — kun olet HTTPS:ssä, lukitse se. Korjaa HSTS.
- Clickjacking-suojaus — yhden rivin otsake, joka estää sivujesi kehystämisen. Korjaa clickjacking.
- X-Content-Type-Options: nosniff ja Referrer-Policy — triviaalin helppoja lisätä. MIME-sniffing · Referrer-Policy.
- Content-Security-Policy — tehokkain ja työläin; kannattaa tehdä huolellisesti. Korjaa CSP.
Usein kysytyt kysymykset
Mitä ovat HTTP-suojausotsakkeet? Ohjeita, joita palvelin lähettää jokaisen sivun mukana ja jotka kertovat selaimelle pakottaa suojaukset — estää kehystämisen, kieltäytyä sekasisällöstä, rajoittaa skriptejä. Ne ovat ilmaisia asetuksia, eivät ohjelmistoja.
Miksi vain 4.03% verkosta asettaa ne kaikki? Koska ne ovat valinnaisia ja näkymättömiä. Mikään ei rikkoudu tai varoita, kun ne puuttuvat, joten useimmat sivustot eivät koskaan lisää niitä — kunnes hyökkäys hyödyntää aukon.
Mikä on tärkein otsake? HSTS ja Content-Security-Policy antavat eniten suojaa. CSP on vahvin puolustus cross-site scriptingiä vastaan, mutta sen käyttöönotto vaatii eniten huolellisuutta.
Miten näen, mitkä otsakkeet sivustoltani puuttuvat? Suorita ilmainen, yksityinen tarkistus (alla) — se luettelee jokaisen otsakkeen ja onko se asetettu.
Tarkista suojausotsakkeesi ilmaiseksi
Näe otsakkeidesi täydellinen arvostelukortti — ja tarkalleen mitä lisätä — yksityisesti ja vain omistajalle.
Tarkista verkkotunnuksesi → · Korjaa CSP → · Korjaa HSTS → · Miten arvioimme → · Vain yhdistettyä dataa. Data tallennettu ja käsitelty EU:ssa.