Defaults.Exposed

Defaults.Exposed › דוחות

תעודת הציונים של כותרות אבטחת HTTP: כיצד הרשת מדורגת ב-2026

פורסם 2026-06-29

נתונים נכון ל-2026-06-29 · מתודולוגיה v7. נתוני מפקד מצרפיים על פני 261 מיליון דומיינים מדורגים. בדיקות הכותרות נצפות על תגובות שהצלחנו להגיע אליהן. ראו כיצד אנו מדרגים.

כותרות אבטחת HTTP הן מההגנות הזולות ביותר באינטרנט — כמה שורות הגדרה, ללא עלות — והנתונים מראים שכמעט כולן מדולגות. על פני 261 מיליון דומיינים, רק 4.03% מגדירים נכון כל כותרת ליבה. כל כותרת חוסמת התקפה ספציפית ואמיתית — clickjacking, הזרקת תוכן, שנמוך פרוטוקול, דליפת referrer — וכל אחת חסרה ברוב המכריע של האתרים.

תעודת הציונים

גבוה יותר טוב יותר — שיעור הדומיינים שמגדירים נכון כל כותרת. נכון ל-2026-06-29:

כותרתמה היא עוצרתדומיינים שמגדירים אותה
HSTS (Strict-Transport-Security)שנמוך מ-HTTPS ל-HTTP22.91% מאתרי HTTPS
Content-Security-PolicyCross-site scripting / הזרקת תוכן8.87%
X-Frame-Options / frame-ancestorsClickjacking14.48%
X-Content-Type-Options (nosniff)התקפות בלבול סוג MIME16.65%
Referrer-Policyדליפת כתובות URL של מבקרים לצדדים שלישיים10.10%
כל האמור לעיל (“מאובטח כברירת מחדל”)המכלול המלא4.03%

Content-Security-Policy — ההגנה החזקה ביותר מפני cross-site scripting — היא הכישלון הבולט: רק 8.87% מהדומיינים מספקים כזו יעילה. ורק 4.03% מגדירים את כל המכלול נכון.

למה כל כך נמוך, כשהן בחינם?

הכותרות אינן מותקנות כברירת מחדל ברוב השרתים והפלטפורמות, ולכן הן מופיעות רק כשמישהו מוסיף אותן במכוון. אין אזהרה מפחידה על היעדרן — בניגוד לתעודה שפג תוקפה, כותרת חסרה בלתי נראית לבעל האתר ולמבקרים, עד הרגע שבו היא מנוצלת. אותה אי-נראות היא בדיוק הסיבה שהאימוץ נשאר בספרות בודדות עבור הכותרות החשובות ביותר.

אילו כותרות עליי לתעדף?

לרוב האתרים, לפי הסדר:

  1. HSTS — ברגע שאתם על HTTPS, נעלו זאת. תיקון HSTS.
  2. הגנה מפני clickjacking — כותרת בת שורה אחת שמונעת מהדפים שלכם להיות ממוסגרים. תיקון clickjacking.
  3. X-Content-Type-Options: nosniff ו-Referrer-Policy — קלות מאוד להוספה. MIME-sniffing · Referrer-Policy.
  4. Content-Security-Policy — החזקה ביותר והעמלנית ביותר; שווה לעשות בקפידה. תיקון CSP.

שאלות נפוצות

מהן כותרות אבטחת HTTP? הוראות שהשרת שולח עם כל דף, המורות לדפדפן לאכוף הגנות — לחסום מסגור, לסרב לתוכן מעורב, להגביל סקריפטים. הן הגדרה חינמית, לא תוכנה.

למה רק 4.03% מהאינטרנט מגדירים את כולן? כי הן בהצטרפות מרצון ובלתי נראות. כלום לא נשבר או מזהיר כשהן חסרות, ולכן רוב האתרים לעולם לא מוסיפים אותן — עד שהתקפה מנצלת את הפרצה.

איזו כותרת הכי חשובה? HSTS ו-Content-Security-Policy מספקים את ההגנה הרבה ביותר. CSP היא ההגנה החזקה ביותר מפני cross-site scripting אך דורשת את מירב הזהירות בפריסה.

איך אני רואה אילו כותרות חסרות באתר שלי? הריצו בדיקה חינמית ופרטית (למטה) — היא מפרטת כל כותרת והאם הגדרתם אותה.

בדקו את כותרות האבטחה שלכם בחינם

ראו את תעודת הציונים המלאה של הכותרות שלכם — ובדיוק מה להוסיף — באופן פרטי ולבעלים בלבד.

בדקו את הדומיין שלכם → · תיקון CSP → · תיקון HSTS → · כיצד אנו מדרגים → · נתונים מצרפיים בלבד. הנתונים מאוחסנים ומעובדים באיחוד האירופי.