Defaults.Exposed › रिपोर्ट
HTTP सुरक्षा हेडर रिपोर्ट कार्ड: 2026 में वेब कैसे स्कोर करता है
प्रकाशित 2026-06-29
2026-06-29 तक के आंकड़े · कार्यप्रणाली v7। 261 मिलियन ग्रेड किए गए डोमेन में समग्र जनगणना डेटा। हेडर जाँच उन प्रतिक्रियाओं पर देखी जाती हैं जिन तक हम पहुँच सके। देखें हम कैसे ग्रेड करते हैं।
HTTP सुरक्षा हेडर वेब पर सबसे सस्ती रक्षाओं में से हैं — कॉन्फ़िगरेशन की कुछ पंक्तियाँ, कोई लागत नहीं — और डेटा दिखाता है कि वे लगभग सार्वभौमिक रूप से छोड़ दिए जाते हैं। 261 मिलियन डोमेन में, केवल 4.03% हर मुख्य हेडर सही पाते हैं। प्रत्येक हेडर एक विशिष्ट, वास्तविक हमले को रोकता है — क्लिकजैकिंग, कंटेंट इंजेक्शन, प्रोटोकॉल डाउनग्रेड, रेफरर लीकेज — और प्रत्येक साइटों के बड़े बहुमत से गायब है।
रिपोर्ट कार्ड
अधिक बेहतर है — उन डोमेन का हिस्सा जो प्रत्येक हेडर सही पाते हैं। 2026-06-29 तक:
| हेडर | यह क्या रोकता है | डोमेन जो इसे सेट करते हैं |
|---|---|---|
| HSTS (Strict-Transport-Security) | HTTPS से HTTP पर डाउनग्रेड | HTTPS साइटों का 22.91% |
| Content-Security-Policy | क्रॉस-साइट स्क्रिप्टिंग / कंटेंट इंजेक्शन | 8.87% |
| X-Frame-Options / frame-ancestors | क्लिकजैकिंग | 14.48% |
| X-Content-Type-Options (nosniff) | MIME-टाइप भ्रम हमले | 16.65% |
| Referrer-Policy | तृतीय पक्षों को विज़िटर URL लीक करना | 10.10% |
| उपरोक्त सभी (“डिफ़ॉल्ट रूप से सुरक्षित”) | पूरा सेट | 4.03% |
Content-Security-Policy — क्रॉस-साइट स्क्रिप्टिंग के खिलाफ सबसे मजबूत रक्षा — शीर्षक विफलता है: केवल 8.87% डोमेन एक प्रभावी भेजते हैं। और सिर्फ 4.03% पूरा सेट सही पाते हैं।
इतना कम क्यों, जब वे मुफ्त हैं?
हेडर अधिकांश सर्वर और प्लेटफ़ॉर्म द्वारा डिफ़ॉल्ट रूप से स्थापित नहीं होते, इसलिए वे केवल तब दिखाई देते हैं जब कोई उन्हें जानबूझकर जोड़ता है। उनके गायब होने के लिए कोई भयावह चेतावनी नहीं है — एक समाप्त प्रमाण पत्र के विपरीत, एक गायब हेडर साइट मालिक और विज़िटर के लिए अदृश्य है, जब तक इसका फायदा नहीं उठाया जाता। वह अदृश्यता ही है जिसके कारण सबसे महत्वपूर्ण हेडर के लिए अपनाना एकल अंकों में है।
मुझे किन हेडर को प्राथमिकता देनी चाहिए?
अधिकांश साइटों के लिए, क्रम में:
- HSTS — एक बार HTTPS पर, इसे लॉक करें। HSTS ठीक करें।
- क्लिकजैकिंग सुरक्षा — एक-लाइन हेडर जो आपके पृष्ठों को फ्रेम होने से रोकता है। क्लिकजैकिंग ठीक करें।
- X-Content-Type-Options: nosniff और Referrer-Policy — जोड़ना मामूली। MIME-स्निफिंग · Referrer-Policy।
- Content-Security-Policy — सबसे शक्तिशाली और सबसे अधिक काम; सावधानी से करने योग्य। CSP ठीक करें।
अक्सर पूछे जाने वाले प्रश्न
HTTP सुरक्षा हेडर क्या हैं? निर्देश जो एक सर्वर प्रत्येक पृष्ठ के साथ भेजता है, ब्राउज़र को सुरक्षाएँ लागू करने के लिए कहता है — फ्रेमिंग ब्लॉक करें, मिश्रित सामग्री से इनकार करें, स्क्रिप्ट प्रतिबंधित करें। वे मुफ्त कॉन्फ़िगरेशन हैं, सॉफ़्टवेयर नहीं।
केवल 4.03% वेब उन सभी को क्यों सेट करता है? क्योंकि वे ऑप्ट-इन और अदृश्य हैं। जब वे गायब हों तो कुछ भी टूटता या चेतावनी नहीं देता, इसलिए अधिकांश साइटें उन्हें कभी नहीं जोड़तीं — जब तक कोई हमला अंतर का फायदा नहीं उठाता।
सबसे महत्वपूर्ण हेडर कौन सा है? HSTS और Content-Security-Policy सबसे अधिक सुरक्षा देते हैं। CSP क्रॉस-साइट स्क्रिप्टिंग के खिलाफ सबसे मजबूत रक्षा है लेकिन तैनात करने में सबसे अधिक देखभाल लेती है।
मैं कैसे देखूं कि मेरी साइट कौन से हेडर गायब हैं? एक मुफ्त, निजी जाँच चलाएं (नीचे) — यह प्रत्येक हेडर और क्या आपने इसे सेट किया है, सूचीबद्ध करता है।
अपने सुरक्षा हेडर मुफ्त में जाँचें
अपना पूरा हेडर रिपोर्ट कार्ड देखें — और क्या जोड़ना है — निजी और केवल-मालिक।
अपना डोमेन जाँचें → · CSP ठीक करें → · HSTS ठीक करें → · हम कैसे ग्रेड करते हैं → · केवल समग्र डेटा। डेटा EU में संग्रहीत और संसाधित।