Defaults.Exposed

Defaults.Exposed › Izvještaji

Ocjena HTTP sigurnosnih zaglavlja: kako web prolazi 2026.

Objavljeno 2026-06-29

Brojke na dan 2026-06-29 · metodologija v7. Agregirani popisni podaci za 261 milijuna ocijenjenih domena. Provjere zaglavlja promatraju se na odgovorima do kojih smo mogli doći. Pogledajte kako ocjenjujemo.

HTTP sigurnosna zaglavlja spadaju među najjeftinije obrane na webu — nekoliko redaka konfiguracije, bez troška — a podaci pokazuju da se gotovo univerzalno preskaču. Među 261 milijuna domena, samo 4.03% ispravno postavlja svako temeljno zaglavlje. Svako zaglavlje blokira određeni, stvarni napad — clickjacking, ubacivanje sadržaja, degradaciju protokola, curenje referrera — i svako nedostaje na velikoj većini stranica.

Svjedodžba

Više je bolje — udio domena koje ispravno postavljaju svako zaglavlje. Na dan 2026-06-29:

ZaglavljeŠto zaustavljaDomene koje ga postavljaju
HSTS (Strict-Transport-Security)Degradacija s HTTPS na HTTP22.91% HTTPS stranica
Content-Security-PolicyCross-site scripting / ubacivanje sadržaja8.87%
X-Frame-Options / frame-ancestorsClickjacking14.48%
X-Content-Type-Options (nosniff)Napadi zabune MIME tipa16.65%
Referrer-PolicyCurenje URL-ova posjetitelja trećim stranama10.10%
Sve navedeno („sigurno prema zadanim postavkama”)Cijeli skup4.03%

Content-Security-Policy — najjača obrana od cross-site scriptinga — glavni je promašaj: samo 8.87% domena isporučuje učinkovitu. A tek 4.03% ispravno postavlja cijeli skup.

Zašto tako nisko, kad su besplatna?

Većina poslužitelja i platformi ne instalira zaglavlja prema zadanim postavkama, pa se ona pojavljuju samo kada ih netko namjerno doda. Za njihov nedostatak nema zastrašujućeg upozorenja — za razliku od isteklog certifikata, zaglavlje koje nedostaje nevidljivo je vlasniku stranice i posjetiteljima, sve do trenutka kada bude iskorišteno. Upravo je ta nevidljivost razlog zašto usvajanje ostaje u jednoznamenkastim brojkama za zaglavlja koja su najvažnija.

Koja zaglavlja trebam dati prioritet?

Za većinu stranica, redom:

  1. HSTS — jednom kad ste na HTTPS-u, zaključajte to. Popravi HSTS.
  2. Zaštita od clickjackinga — zaglavlje od jednog retka koje sprječava da se vaše stranice uokvire. Popravi clickjacking.
  3. X-Content-Type-Options: nosniff i Referrer-Policy — trivijalno ih je dodati. MIME-sniffing · Referrer-Policy.
  4. Content-Security-Policy — najmoćnija i zahtijeva najviše posla; vrijedi je napraviti pažljivo. Popravi CSP.

Često postavljana pitanja

Što su HTTP sigurnosna zaglavlja? Upute koje poslužitelj šalje sa svakom stranicom, govoreći pregledniku da provede zaštite — blokira uokvirivanje, odbije mješoviti sadržaj, ograniči skripte. To je besplatna konfiguracija, a ne softver.

Zašto ih sva postavlja samo 4.03% weba? Zato što su opcionalna i nevidljiva. Ništa se ne kvari niti upozorava kada nedostaju, pa ih većina stranica nikada ne doda — sve dok napad ne iskoristi propust.

Koje je zaglavlje najvažnije? HSTS i Content-Security-Policy pružaju najviše zaštite. CSP je najjača obrana od cross-site scriptinga, ali zahtijeva najviše pažnje pri primjeni.

Kako vidim koja zaglavlja nedostaju na mojoj stranici? Pokrenite besplatnu, privatnu provjeru (ispod) — navodi svako zaglavlje i jeste li ga postavili.

Provjerite svoja sigurnosna zaglavlja besplatno

Pogledajte potpunu svjedodžbu svojih zaglavlja — i točno što dodati — privatno i samo za vlasnika.

Provjerite svoju domenu → · Popravi CSP → · Popravi HSTS → · Kako ocjenjujemo → · Samo agregirani podaci. Podaci pohranjeni i obrađeni u EU-u.