Defaults.Exposed

Defaults.Exposed › Laporan

Rapor Header Keamanan HTTP: Bagaimana Nilai Web pada 2026

Diterbitkan 2026-06-29

Angka per 2026-06-29 · metodologi v7. Data sensus agregat dari 261 juta domain yang dinilai. Pemeriksaan header diamati pada respons yang dapat kami jangkau. Lihat bagaimana kami menilai.

Header keamanan HTTP termasuk pertahanan termurah di web — beberapa baris konfigurasi, tanpa biaya — dan data menunjukkan bahwa header ini hampir selalu dilewatkan. Dari 261 juta domain, hanya 4.03% yang menyetel setiap header inti dengan benar. Setiap header memblokir serangan spesifik dan nyata — clickjacking, injeksi konten, penurunan protokol, kebocoran referrer — dan masing-masing hilang pada sebagian besar situs.

Rapor nilai

Makin tinggi makin baik — proporsi domain yang menyetel setiap header dengan benar. Per 2026-06-29:

HeaderApa yang dihentikannyaDomain yang menyetelnya
HSTS (Strict-Transport-Security)Penurunan dari HTTPS ke HTTP22.91% situs HTTPS
Content-Security-PolicyCross-site scripting / injeksi konten8.87%
X-Frame-Options / frame-ancestorsClickjacking14.48%
X-Content-Type-Options (nosniff)Serangan kebingungan tipe MIME16.65%
Referrer-PolicyMembocorkan URL pengunjung ke pihak ketiga10.10%
Semua hal di atas (“aman secara bawaan”)Set lengkap4.03%

Content-Security-Policy — pertahanan terkuat terhadap cross-site scripting — adalah kegagalan utama: hanya 8.87% domain yang mengirim header yang efektif. Dan hanya 4.03% yang menyetel seluruh set dengan benar.

Mengapa serendah itu, padahal gratis?

Sebagian besar server dan platform tidak memasang header secara bawaan, jadi header hanya muncul ketika seseorang sengaja menambahkannya. Tidak ada peringatan menakutkan saat header hilang — tidak seperti sertifikat yang kedaluwarsa, header yang hilang tidak terlihat oleh pemilik situs maupun pengunjung, sampai header itu dieksploitasi. Ketidaktampakan itulah yang membuat adopsi tetap di angka satu digit untuk header yang paling penting.

Header mana yang harus saya prioritaskan?

Untuk sebagian besar situs, secara berurutan:

  1. HSTS — begitu Anda memakai HTTPS, kuncilah. Perbaiki HSTS.
  2. Perlindungan clickjacking — header satu baris yang mencegah halaman Anda dibingkai. Perbaiki clickjacking.
  3. X-Content-Type-Options: nosniff dan Referrer-Policy — sepele untuk ditambahkan. MIME-sniffing · Referrer-Policy.
  4. Content-Security-Policy — yang paling ampuh dan paling banyak pekerjaannya; layak dikerjakan dengan cermat. Perbaiki CSP.

Pertanyaan yang sering diajukan

Apa itu header keamanan HTTP? Instruksi yang dikirim server bersama setiap halaman, yang memberi tahu browser untuk menerapkan perlindungan — memblokir pembingkaian, menolak konten campuran, membatasi skrip. Itu adalah konfigurasi gratis, bukan perangkat lunak.

Mengapa hanya 4.03% web yang menyetel semuanya? Karena header bersifat opsional dan tidak terlihat. Tidak ada yang rusak atau memberi peringatan saat header hilang, jadi sebagian besar situs tidak pernah menambahkannya — sampai sebuah serangan mengeksploitasi celah itu.

Header mana yang paling penting? HSTS dan Content-Security-Policy memberikan perlindungan terbesar. CSP adalah pertahanan terkuat terhadap cross-site scripting tetapi paling memerlukan kehati-hatian untuk diterapkan.

Bagaimana cara melihat header mana yang tidak dimiliki situs saya? Jalankan pemeriksaan gratis dan privat (di bawah) — pemeriksaan ini mencantumkan setiap header dan apakah Anda telah menyetelnya.

Periksa header keamanan Anda secara gratis

Lihat rapor nilai header lengkap Anda — dan persisnya apa yang perlu ditambahkan — secara privat dan hanya untuk pemilik.

Periksa domain Anda → · Perbaiki CSP → · Perbaiki HSTS → · Bagaimana kami menilai → · Hanya data agregat. Data disimpan dan diproses di UE.