Defaults.Exposed › Jelentések
A HTTP-biztonságifejléc-bizonyítvány: hogyan teljesít a web 2026-ban
Közzétéve 2026-06-29
Adatok 2026-06-29 állapot szerint · módszertan v7. Aggregált népszámlálási adatok 261 millió osztályozott domainen át. A fejléc-ellenőrzéseket azokon a válaszokon figyeljük meg, amelyeket el tudtunk érni. Lásd: hogyan osztályozunk.
A HTTP biztonsági fejlécek a web legolcsóbb védelmei közé tartoznak — néhány sor konfiguráció, költség nélkül —, és az adatok azt mutatják, hogy szinte mindenhol kihagyják őket. 261 millió domain közül csupán 4.03% állít be minden alapvető fejlécet helyesen. Minden fejléc egy-egy konkrét, valós támadást blokkol — clickjacking, tartalombefecskendezés, protokoll-visszaminősítés, referer-szivárgás —, és mindegyik hiányzik a webhelyek túlnyomó többségéről.
A bizonyítvány
A magasabb a jobb — azon domainek aránya, amelyek minden fejlécet helyesen állítanak be. 2026-06-29 állapot szerint:
| Fejléc | Mit állít meg | Beállító domainek |
|---|---|---|
| HSTS (Strict-Transport-Security) | Visszaminősítés HTTPS-ről HTTP-re | a HTTPS-webhelyek 22.91%-a |
| Content-Security-Policy | Cross-site scripting / tartalombefecskendezés | 8.87% |
| X-Frame-Options / frame-ancestors | Clickjacking | 14.48% |
| X-Content-Type-Options (nosniff) | MIME-típus-összetévesztéses támadások | 16.65% |
| Referrer-Policy | A látogatók URL-jeinek kiszivárogtatása harmadik feleknek | 10.10% |
| Mindezek együtt („alapból biztonságos”) | A teljes készlet | 4.03% |
Content-Security-Policy — a cross-site scripting elleni legerősebb védelem — a legnagyobb kudarc: a domaineknek csupán 8.87%-a szállít hatékonyat. És csak 4.03% állítja be jól a teljes készletet.
Miért ilyen alacsony, ha ingyenesek?
A legtöbb szerver és platform alapból nem telepíti a fejléceket, így csak akkor jelennek meg, ha valaki szándékosan hozzáadja őket. Hiányukért nincs ijesztő figyelmeztetés — egy lejárt tanúsítvánnyal ellentétben a hiányzó fejléc láthatatlan a webhely tulajdonosa és a látogatók számára egészen addig, amíg ki nem használják. Pontosan ez a láthatatlanság az oka annak, hogy a legfontosabb fejlécek bevezetése egyszámjegyű százalékon marad.
Mely fejléceket részesítsem előnyben?
A legtöbb webhely esetében, sorrendben:
- HSTS — amint HTTPS-en vagy, rögzítsd. HSTS javítása.
- Clickjacking-védelem — egysoros fejléc, amely megakadályozza, hogy az oldalaidat keretbe foglalják. Clickjacking javítása.
- X-Content-Type-Options: nosniff és Referrer-Policy — triviálisan hozzáadhatók. MIME-sniffing · Referrer-Policy.
- Content-Security-Policy — a legerősebb és a legtöbb munkát igénylő; érdemes gondosan elvégezni. CSP javítása.
Gyakran ismételt kérdések
Mik azok a HTTP biztonsági fejlécek? Utasítások, amelyeket a szerver minden oldallal együtt küld, és amelyek arra utasítják a böngészőt, hogy érvényesítsen védelmeket — keretbe foglalás blokkolása, vegyes tartalom elutasítása, szkriptek korlátozása. Ingyenes konfiguráció, nem szoftver.
Miért állítja be mindet a web mindössze 4.03%-a? Mert opcionálisak és láthatatlanok. Ha hiányoznak, semmi nem törik el és nem figyelmeztet, így a legtöbb webhely sosem adja hozzá őket — amíg egy támadás ki nem használja a rést.
Melyik a legfontosabb fejléc? A HSTS és egy Content-Security-Policy nyújtja a legtöbb védelmet. A CSP a cross-site scripting elleni legerősebb védelem, de a bevezetése igényli a legtöbb gondosságot.
Hogyan láthatom, mely fejlécek hiányoznak a webhelyemről? Futtass egy ingyenes, privát ellenőrzést (lent) — felsorolja az egyes fejléceket, és hogy beállítottad-e őket.
Ellenőrizd ingyen a biztonsági fejléceidet
Tekintsd meg a teljes fejléc-bizonyítványodat — és pontosan azt, hogy mit kell hozzáadni — privát módon, csak a tulajdonos számára.
Ellenőrizd a domained → · CSP javítása → · HSTS javítása → · Hogyan osztályozunk → · Csak aggregált adatok. Az adatokat az EU-ban tároljuk és dolgozzuk fel.