Defaults.Exposed

Defaults.Exposed › रिपोर्ट

HTTP सुरक्षा हेडर रिपोर्ट कार्ड: 2026 में वेब कैसे स्कोर करता है

प्रकाशित 2026-06-29

2026-06-29 तक के आंकड़े · कार्यप्रणाली v7। 261 मिलियन ग्रेड किए गए डोमेन में समग्र जनगणना डेटा। हेडर जाँच उन प्रतिक्रियाओं पर देखी जाती हैं जिन तक हम पहुँच सके। देखें हम कैसे ग्रेड करते हैं

HTTP सुरक्षा हेडर वेब पर सबसे सस्ती रक्षाओं में से हैं — कॉन्फ़िगरेशन की कुछ पंक्तियाँ, कोई लागत नहीं — और डेटा दिखाता है कि वे लगभग सार्वभौमिक रूप से छोड़ दिए जाते हैं। 261 मिलियन डोमेन में, केवल 4.03% हर मुख्य हेडर सही पाते हैं। प्रत्येक हेडर एक विशिष्ट, वास्तविक हमले को रोकता है — क्लिकजैकिंग, कंटेंट इंजेक्शन, प्रोटोकॉल डाउनग्रेड, रेफरर लीकेज — और प्रत्येक साइटों के बड़े बहुमत से गायब है।

रिपोर्ट कार्ड

अधिक बेहतर है — उन डोमेन का हिस्सा जो प्रत्येक हेडर सही पाते हैं। 2026-06-29 तक:

हेडरयह क्या रोकता हैडोमेन जो इसे सेट करते हैं
HSTS (Strict-Transport-Security)HTTPS से HTTP पर डाउनग्रेडHTTPS साइटों का 22.91%
Content-Security-Policyक्रॉस-साइट स्क्रिप्टिंग / कंटेंट इंजेक्शन8.87%
X-Frame-Options / frame-ancestorsक्लिकजैकिंग14.48%
X-Content-Type-Options (nosniff)MIME-टाइप भ्रम हमले16.65%
Referrer-Policyतृतीय पक्षों को विज़िटर URL लीक करना10.10%
उपरोक्त सभी (“डिफ़ॉल्ट रूप से सुरक्षित”)पूरा सेट4.03%

Content-Security-Policy — क्रॉस-साइट स्क्रिप्टिंग के खिलाफ सबसे मजबूत रक्षा — शीर्षक विफलता है: केवल 8.87% डोमेन एक प्रभावी भेजते हैं। और सिर्फ 4.03% पूरा सेट सही पाते हैं।

इतना कम क्यों, जब वे मुफ्त हैं?

हेडर अधिकांश सर्वर और प्लेटफ़ॉर्म द्वारा डिफ़ॉल्ट रूप से स्थापित नहीं होते, इसलिए वे केवल तब दिखाई देते हैं जब कोई उन्हें जानबूझकर जोड़ता है। उनके गायब होने के लिए कोई भयावह चेतावनी नहीं है — एक समाप्त प्रमाण पत्र के विपरीत, एक गायब हेडर साइट मालिक और विज़िटर के लिए अदृश्य है, जब तक इसका फायदा नहीं उठाया जाता। वह अदृश्यता ही है जिसके कारण सबसे महत्वपूर्ण हेडर के लिए अपनाना एकल अंकों में है।

मुझे किन हेडर को प्राथमिकता देनी चाहिए?

अधिकांश साइटों के लिए, क्रम में:

  1. HSTS — एक बार HTTPS पर, इसे लॉक करें। HSTS ठीक करें
  2. क्लिकजैकिंग सुरक्षा — एक-लाइन हेडर जो आपके पृष्ठों को फ्रेम होने से रोकता है। क्लिकजैकिंग ठीक करें
  3. X-Content-Type-Options: nosniff और Referrer-Policy — जोड़ना मामूली। MIME-स्निफिंग · Referrer-Policy
  4. Content-Security-Policy — सबसे शक्तिशाली और सबसे अधिक काम; सावधानी से करने योग्य। CSP ठीक करें

अक्सर पूछे जाने वाले प्रश्न

HTTP सुरक्षा हेडर क्या हैं? निर्देश जो एक सर्वर प्रत्येक पृष्ठ के साथ भेजता है, ब्राउज़र को सुरक्षाएँ लागू करने के लिए कहता है — फ्रेमिंग ब्लॉक करें, मिश्रित सामग्री से इनकार करें, स्क्रिप्ट प्रतिबंधित करें। वे मुफ्त कॉन्फ़िगरेशन हैं, सॉफ़्टवेयर नहीं।

केवल 4.03% वेब उन सभी को क्यों सेट करता है? क्योंकि वे ऑप्ट-इन और अदृश्य हैं। जब वे गायब हों तो कुछ भी टूटता या चेतावनी नहीं देता, इसलिए अधिकांश साइटें उन्हें कभी नहीं जोड़तीं — जब तक कोई हमला अंतर का फायदा नहीं उठाता।

सबसे महत्वपूर्ण हेडर कौन सा है? HSTS और Content-Security-Policy सबसे अधिक सुरक्षा देते हैं। CSP क्रॉस-साइट स्क्रिप्टिंग के खिलाफ सबसे मजबूत रक्षा है लेकिन तैनात करने में सबसे अधिक देखभाल लेती है।

मैं कैसे देखूं कि मेरी साइट कौन से हेडर गायब हैं? एक मुफ्त, निजी जाँच चलाएं (नीचे) — यह प्रत्येक हेडर और क्या आपने इसे सेट किया है, सूचीबद्ध करता है।

अपने सुरक्षा हेडर मुफ्त में जाँचें

अपना पूरा हेडर रिपोर्ट कार्ड देखें — और क्या जोड़ना है — निजी और केवल-मालिक।

अपना डोमेन जाँचें → · CSP ठीक करें → · HSTS ठीक करें → · हम कैसे ग्रेड करते हैं → · केवल समग्र डेटा। डेटा EU में संग्रहीत और संसाधित।