Defaults.Exposed › Izvještaji
Ocjena HTTP sigurnosnih zaglavlja: kako web prolazi 2026.
Objavljeno 2026-06-29
Brojke na dan 2026-06-29 · metodologija v7. Agregirani popisni podaci za 261 milijuna ocijenjenih domena. Provjere zaglavlja promatraju se na odgovorima do kojih smo mogli doći. Pogledajte kako ocjenjujemo.
HTTP sigurnosna zaglavlja spadaju među najjeftinije obrane na webu — nekoliko redaka konfiguracije, bez troška — a podaci pokazuju da se gotovo univerzalno preskaču. Među 261 milijuna domena, samo 4.03% ispravno postavlja svako temeljno zaglavlje. Svako zaglavlje blokira određeni, stvarni napad — clickjacking, ubacivanje sadržaja, degradaciju protokola, curenje referrera — i svako nedostaje na velikoj većini stranica.
Svjedodžba
Više je bolje — udio domena koje ispravno postavljaju svako zaglavlje. Na dan 2026-06-29:
| Zaglavlje | Što zaustavlja | Domene koje ga postavljaju |
|---|---|---|
| HSTS (Strict-Transport-Security) | Degradacija s HTTPS na HTTP | 22.91% HTTPS stranica |
| Content-Security-Policy | Cross-site scripting / ubacivanje sadržaja | 8.87% |
| X-Frame-Options / frame-ancestors | Clickjacking | 14.48% |
| X-Content-Type-Options (nosniff) | Napadi zabune MIME tipa | 16.65% |
| Referrer-Policy | Curenje URL-ova posjetitelja trećim stranama | 10.10% |
| Sve navedeno („sigurno prema zadanim postavkama”) | Cijeli skup | 4.03% |
Content-Security-Policy — najjača obrana od cross-site scriptinga — glavni je promašaj: samo 8.87% domena isporučuje učinkovitu. A tek 4.03% ispravno postavlja cijeli skup.
Zašto tako nisko, kad su besplatna?
Većina poslužitelja i platformi ne instalira zaglavlja prema zadanim postavkama, pa se ona pojavljuju samo kada ih netko namjerno doda. Za njihov nedostatak nema zastrašujućeg upozorenja — za razliku od isteklog certifikata, zaglavlje koje nedostaje nevidljivo je vlasniku stranice i posjetiteljima, sve do trenutka kada bude iskorišteno. Upravo je ta nevidljivost razlog zašto usvajanje ostaje u jednoznamenkastim brojkama za zaglavlja koja su najvažnija.
Koja zaglavlja trebam dati prioritet?
Za većinu stranica, redom:
- HSTS — jednom kad ste na HTTPS-u, zaključajte to. Popravi HSTS.
- Zaštita od clickjackinga — zaglavlje od jednog retka koje sprječava da se vaše stranice uokvire. Popravi clickjacking.
- X-Content-Type-Options: nosniff i Referrer-Policy — trivijalno ih je dodati. MIME-sniffing · Referrer-Policy.
- Content-Security-Policy — najmoćnija i zahtijeva najviše posla; vrijedi je napraviti pažljivo. Popravi CSP.
Često postavljana pitanja
Što su HTTP sigurnosna zaglavlja? Upute koje poslužitelj šalje sa svakom stranicom, govoreći pregledniku da provede zaštite — blokira uokvirivanje, odbije mješoviti sadržaj, ograniči skripte. To je besplatna konfiguracija, a ne softver.
Zašto ih sva postavlja samo 4.03% weba? Zato što su opcionalna i nevidljiva. Ništa se ne kvari niti upozorava kada nedostaju, pa ih većina stranica nikada ne doda — sve dok napad ne iskoristi propust.
Koje je zaglavlje najvažnije? HSTS i Content-Security-Policy pružaju najviše zaštite. CSP je najjača obrana od cross-site scriptinga, ali zahtijeva najviše pažnje pri primjeni.
Kako vidim koja zaglavlja nedostaju na mojoj stranici? Pokrenite besplatnu, privatnu provjeru (ispod) — navodi svako zaglavlje i jeste li ga postavili.
Provjerite svoja sigurnosna zaglavlja besplatno
Pogledajte potpunu svjedodžbu svojih zaglavlja — i točno što dodati — privatno i samo za vlasnika.
Provjerite svoju domenu → · Popravi CSP → · Popravi HSTS → · Kako ocjenjujemo → · Samo agregirani podaci. Podaci pohranjeni i obrađeni u EU-u.