Defaults.Exposed

Defaults.Exposed › Jelentések

A HTTP-biztonságifejléc-bizonyítvány: hogyan teljesít a web 2026-ban

Közzétéve 2026-06-29

Adatok 2026-06-29 állapot szerint · módszertan v7. Aggregált népszámlálási adatok 261 millió osztályozott domainen át. A fejléc-ellenőrzéseket azokon a válaszokon figyeljük meg, amelyeket el tudtunk érni. Lásd: hogyan osztályozunk.

A HTTP biztonsági fejlécek a web legolcsóbb védelmei közé tartoznak — néhány sor konfiguráció, költség nélkül —, és az adatok azt mutatják, hogy szinte mindenhol kihagyják őket. 261 millió domain közül csupán 4.03% állít be minden alapvető fejlécet helyesen. Minden fejléc egy-egy konkrét, valós támadást blokkol — clickjacking, tartalombefecskendezés, protokoll-visszaminősítés, referer-szivárgás —, és mindegyik hiányzik a webhelyek túlnyomó többségéről.

A bizonyítvány

A magasabb a jobb — azon domainek aránya, amelyek minden fejlécet helyesen állítanak be. 2026-06-29 állapot szerint:

FejlécMit állít megBeállító domainek
HSTS (Strict-Transport-Security)Visszaminősítés HTTPS-ről HTTP-rea HTTPS-webhelyek 22.91%-a
Content-Security-PolicyCross-site scripting / tartalombefecskendezés8.87%
X-Frame-Options / frame-ancestorsClickjacking14.48%
X-Content-Type-Options (nosniff)MIME-típus-összetévesztéses támadások16.65%
Referrer-PolicyA látogatók URL-jeinek kiszivárogtatása harmadik feleknek10.10%
Mindezek együtt („alapból biztonságos”)A teljes készlet4.03%

Content-Security-Policy — a cross-site scripting elleni legerősebb védelem — a legnagyobb kudarc: a domaineknek csupán 8.87%-a szállít hatékonyat. És csak 4.03% állítja be jól a teljes készletet.

Miért ilyen alacsony, ha ingyenesek?

A legtöbb szerver és platform alapból nem telepíti a fejléceket, így csak akkor jelennek meg, ha valaki szándékosan hozzáadja őket. Hiányukért nincs ijesztő figyelmeztetés — egy lejárt tanúsítvánnyal ellentétben a hiányzó fejléc láthatatlan a webhely tulajdonosa és a látogatók számára egészen addig, amíg ki nem használják. Pontosan ez a láthatatlanság az oka annak, hogy a legfontosabb fejlécek bevezetése egyszámjegyű százalékon marad.

Mely fejléceket részesítsem előnyben?

A legtöbb webhely esetében, sorrendben:

  1. HSTS — amint HTTPS-en vagy, rögzítsd. HSTS javítása.
  2. Clickjacking-védelem — egysoros fejléc, amely megakadályozza, hogy az oldalaidat keretbe foglalják. Clickjacking javítása.
  3. X-Content-Type-Options: nosniff és Referrer-Policy — triviálisan hozzáadhatók. MIME-sniffing · Referrer-Policy.
  4. Content-Security-Policy — a legerősebb és a legtöbb munkát igénylő; érdemes gondosan elvégezni. CSP javítása.

Gyakran ismételt kérdések

Mik azok a HTTP biztonsági fejlécek? Utasítások, amelyeket a szerver minden oldallal együtt küld, és amelyek arra utasítják a böngészőt, hogy érvényesítsen védelmeket — keretbe foglalás blokkolása, vegyes tartalom elutasítása, szkriptek korlátozása. Ingyenes konfiguráció, nem szoftver.

Miért állítja be mindet a web mindössze 4.03%-a? Mert opcionálisak és láthatatlanok. Ha hiányoznak, semmi nem törik el és nem figyelmeztet, így a legtöbb webhely sosem adja hozzá őket — amíg egy támadás ki nem használja a rést.

Melyik a legfontosabb fejléc? A HSTS és egy Content-Security-Policy nyújtja a legtöbb védelmet. A CSP a cross-site scripting elleni legerősebb védelem, de a bevezetése igényli a legtöbb gondosságot.

Hogyan láthatom, mely fejlécek hiányoznak a webhelyemről? Futtass egy ingyenes, privát ellenőrzést (lent) — felsorolja az egyes fejléceket, és hogy beállítottad-e őket.

Ellenőrizd ingyen a biztonsági fejléceidet

Tekintsd meg a teljes fejléc-bizonyítványodat — és pontosan azt, hogy mit kell hozzáadni — privát módon, csak a tulajdonos számára.

Ellenőrizd a domained → · CSP javítása → · HSTS javítása → · Hogyan osztályozunk → · Csak aggregált adatok. Az adatokat az EU-ban tároljuk és dolgozzuk fel.