Defaults.Exposed

Defaults.Exposed › Ataskaitos

HTTP saugumo antraščių pažymių lapas: kaip saitynas vertinamas 2026 m.

Paskelbta 2026-06-29

Duomenys 2026-06-29 dienai · metodologija v7. Apibendrinti surašymo duomenys apie 261 milijonus įvertintų domenų. Antraščių patikros stebimos atsakymuose, kuriuos galėjome pasiekti. Žiūrėkite kaip vertiname.

HTTP saugumo antraštės yra vienos pigiausių apsaugų internete — keletas konfigūracijos eilučių, jokių išlaidų — o duomenys rodo, kad jos beveik visuotinai praleidžiamos. Iš 261 milijonų domenų tik 4.03% teisingai nustato kiekvieną pagrindinę antraštę. Kiekviena antraštė blokuoja konkrečią, realią ataką — clickjacking, turinio įterpimą, protokolo pažeminimą, referrer nutekėjimą — ir kiekvienos trūksta didžiojoje daugumoje svetainių.

Pažymių lentelė

Kuo daugiau, tuo geriau — domenų, teisingai nustatančių kiekvieną antraštę, dalis. 2026-06-29 dienai:

AntraštėKą sustabdoDomenai, kurie ją nustato
HSTS (Strict-Transport-Security)Pažeminimas iš HTTPS į HTTP22.91% HTTPS svetainių
Content-Security-PolicyCross-site scripting / turinio įterpimas8.87%
X-Frame-Options / frame-ancestorsClickjacking14.48%
X-Content-Type-Options (nosniff)MIME tipo painiavos atakos16.65%
Referrer-PolicyLankytojų URL nutekėjimas trečiosioms šalims10.10%
Visa tai, kas išvardyta („saugu pagal numatytuosius nustatymus”)Visas rinkinys4.03%

Content-Security-Policy — stipriausia apsauga nuo cross-site scripting — yra ryškiausia nesėkmė: tik 8.87% domenų pateikia veiksmingą. Ir tik 4.03% teisingai nustato visą rinkinį.

Kodėl taip mažai, jei jos nemokamos?

Antraštės nėra įdiegtos pagal numatytuosius nustatymus daugumoje serverių ir platformų, todėl jos atsiranda tik tada, kai kas nors jas sąmoningai prideda. Dėl jų trūkumo nėra jokio gąsdinančio įspėjimo — skirtingai nei pasibaigusio galiojimo sertifikatas, trūkstama antraštė yra nematoma svetainės savininkui ir lankytojams iki pat akimirkos, kai ja pasinaudojama. Būtent tas nematomumas ir yra priežastis, kodėl svarbiausių antraščių naudojimas išlieka vienaženkliuose skaičiuose.

Kurioms antraštėms turėčiau teikti pirmenybę?

Daugumai svetainių, eilės tvarka:

  1. HSTS — kai jau esate HTTPS, užfiksuokite tai. Taisyti HSTS.
  2. Apsauga nuo clickjacking — vienos eilutės antraštė, neleidžianti jūsų puslapių įrėminti. Taisyti clickjacking.
  3. X-Content-Type-Options: nosniff ir Referrer-Policy — labai paprasta pridėti. MIME-sniffing · Referrer-Policy.
  4. Content-Security-Policy — galingiausia ir daugiausiai darbo reikalaujanti; verta padaryti atidžiai. Taisyti CSP.

Dažnai užduodami klausimai

Kas yra HTTP saugumo antraštės? Nurodymai, kuriuos serveris siunčia su kiekvienu puslapiu, liepdamas naršyklei taikyti apsaugas — blokuoti įrėminimą, atsisakyti mišraus turinio, riboti scenarijus. Tai nemokama konfigūracija, o ne programinė įranga.

Kodėl tik 4.03% interneto jas visas nustato? Nes jos yra pasirenkamos ir nematomos. Kai jų trūksta, niekas nesugenda ir neįspėja, todėl dauguma svetainių jų niekada neprideda — kol ataka neišnaudoja spragos.

Kuri antraštė yra svarbiausia? HSTS ir Content-Security-Policy suteikia daugiausiai apsaugos. CSP yra stipriausia apsauga nuo cross-site scripting, tačiau jos diegimas reikalauja daugiausiai atidumo.

Kaip pamatyti, kurių antraščių trūksta mano svetainėje? Atlikite nemokamą, privačią patikrą (žemiau) — ji išvardija kiekvieną antraštę ir ar ją nustatėte.

Patikrinkite savo saugumo antraštes nemokamai

Pamatykite visą savo antraščių pažymių lentelę — ir tiksliai ką pridėti — privačiai ir tik savininkui.

Patikrinkite savo domeną → · Taisyti CSP → · Taisyti HSTS → · Kaip vertiname → · Tik apibendrinti duomenys. Duomenys saugomi ir tvarkomi ES.