Defaults.Exposed › Report
La pagella degli header di sicurezza HTTP: come si comporta il web nel 2026
Pubblicato 2026-06-29
Dati al 2026-06-29 · metodologia v7. Dati aggregati del censimento su 261 milioni di domini valutati. I controlli delle intestazioni sono osservati sulle risposte che siamo riusciti a raggiungere. Vedi come valutiamo.
Le intestazioni di sicurezza HTTP sono tra le difese più economiche del web — poche righe di configurazione, a costo zero — e i dati mostrano che vengono quasi sempre saltate. Su 261 milioni di domini, solo il 4,03% imposta correttamente ogni intestazione fondamentale. Ogni intestazione blocca un attacco specifico e reale — clickjacking, iniezione di contenuti, downgrade di protocollo, fuga del referrer — e ognuna manca nella stragrande maggioranza dei siti.
La pagella
Più alto è meglio — la quota di domini che imposta correttamente ogni intestazione. Al 2026-06-29:
| Intestazione | Cosa blocca | Domini che la impostano |
|---|---|---|
| HSTS (Strict-Transport-Security) | Downgrade da HTTPS a HTTP | 22,91% dei siti HTTPS |
| Content-Security-Policy | Cross-site scripting / iniezione di contenuti | 8,87% |
| X-Frame-Options / frame-ancestors | Clickjacking | 14,48% |
| X-Content-Type-Options (nosniff) | Attacchi di confusione del tipo MIME | 16,65% |
| Referrer-Policy | Fuga degli URL dei visitatori verso terze parti | 10,10% |
| Tutte le precedenti (“sicuro per impostazione predefinita”) | L’insieme completo | 4,03% |
Content-Security-Policy — la difesa più forte contro il cross-site scripting — è il fallimento di punta: solo il 8,87% dei domini ne fornisce una efficace. E solo il 4,03% azzecca l’insieme completo.
Perché così basso, se sono gratuite?
La maggior parte dei server e delle piattaforme non installa le intestazioni per impostazione predefinita, quindi compaiono solo quando qualcuno le aggiunge deliberatamente. Non c’è alcun avviso allarmante per la loro assenza — a differenza di un certificato scaduto, un’intestazione mancante è invisibile per il proprietario del sito e per i visitatori, fino a quando non viene sfruttata. È proprio questa invisibilità la ragione per cui l’adozione resta a una sola cifra per le intestazioni che contano di più.
Quali intestazioni dovrei dare la priorità?
Per la maggior parte dei siti, in ordine:
- HSTS — una volta passato a HTTPS, bloccalo. Correggi HSTS.
- Protezione dal clickjacking — un’intestazione di una sola riga che impedisce che le tue pagine vengano incorniciate. Correggi il clickjacking.
- X-Content-Type-Options: nosniff e Referrer-Policy — banali da aggiungere. MIME-sniffing · Referrer-Policy.
- Content-Security-Policy — la più potente e quella che richiede più lavoro; vale la pena farla con cura. Correggi CSP.
Domande frequenti
Cosa sono le intestazioni di sicurezza HTTP? Istruzioni che un server invia con ogni pagina, dicendo al browser di applicare protezioni — bloccare il framing, rifiutare contenuti misti, limitare gli script. Sono configurazione gratuita, non software.
Perché solo il 4,03% del web le imposta tutte? Perché sono opt-in e invisibili. Quando mancano, non si rompe nulla e nulla avvisa, quindi la maggior parte dei siti non le aggiunge mai — finché un attacco non sfrutta la falla.
Qual è l’intestazione più importante? HSTS e una Content-Security-Policy offrono la massima protezione. Il CSP è la difesa più forte contro il cross-site scripting, ma richiede la massima cura per essere implementato.
Come faccio a vedere quali intestazioni mancano al mio sito? Esegui un controllo gratuito e privato (qui sotto) — elenca ogni intestazione e se l’hai impostata.
Controlla gratis le tue intestazioni di sicurezza
Consulta la pagella completa delle tue intestazioni — ed esattamente cosa aggiungere — in modo privato e riservato al proprietario.
Controlla il tuo dominio → · Correggi CSP → · Correggi HSTS → · Come valutiamo → · Solo dati aggregati. Dati archiviati ed elaborati nell’UE.