Defaults.Exposed › Laporan
Kad Laporan Pengepala Keselamatan HTTP: Bagaimana Web Mendapat Markah pada 2026
Diterbitkan 2026-06-29
Angka setakat 2026-06-29 · metodologi v7. Data banci agregat merentasi 261 juta domain yang dinilai. Pemeriksaan pengepala diperhatikan pada respons yang dapat kami capai. Lihat cara kami menilai.
Pengepala keselamatan HTTP adalah antara pertahanan termurah di web — beberapa baris konfigurasi, tanpa kos — dan data menunjukkan ia hampir sejagat diabaikan. Merentasi 261 juta domain, hanya 4.03% menetapkan setiap pengepala teras dengan betul. Setiap pengepala menyekat satu serangan tertentu dan sebenar — clickjacking, suntikan kandungan, penurunan taraf protokol, kebocoran referrer — dan setiap satu tiada pada majoriti besar laman.
Kad laporan
Lebih tinggi lebih baik — bahagian domain yang menetapkan setiap pengepala dengan betul. Setakat 2026-06-29:
| Pengepala | Apa yang dihentikan | Domain yang menetapkannya |
|---|---|---|
| HSTS (Strict-Transport-Security) | Penurunan taraf daripada HTTPS ke HTTP | 22.91% laman HTTPS |
| Content-Security-Policy | Cross-site scripting / suntikan kandungan | 8.87% |
| X-Frame-Options / frame-ancestors | Clickjacking | 14.48% |
| X-Content-Type-Options (nosniff) | Serangan kekeliruan jenis MIME | 16.65% |
| Referrer-Policy | Kebocoran URL pelawat kepada pihak ketiga | 10.10% |
| Semua di atas (“selamat secara lalai”) | Set penuh | 4.03% |
Content-Security-Policy — pertahanan terkuat terhadap cross-site scripting — adalah kegagalan utama: hanya 8.87% domain menghantar yang berkesan. Dan hanya 4.03% menetapkan keseluruhan set dengan betul.
Mengapa begitu rendah, sedangkan ia percuma?
Pengepala tidak dipasang secara lalai oleh kebanyakan pelayan dan platform, jadi ia hanya muncul apabila seseorang sengaja menambahnya. Tiada amaran menakutkan untuk yang hilang — tidak seperti sijil yang tamat tempoh, pengepala yang hilang tidak kelihatan kepada pemilik laman dan pelawat, sehinggalah ia dieksploitasi. Ketidaknampakan itulah sebenarnya sebab penggunaan berada pada angka satu digit untuk pengepala yang paling penting.
Pengepala mana patut saya utamakan?
Untuk kebanyakan laman, mengikut urutan:
- HSTS — sebaik sahaja anda di HTTPS, kunci ia. Baiki HSTS.
- Perlindungan clickjacking — pengepala satu baris yang menghalang halaman anda daripada dibingkaikan. Baiki clickjacking.
- X-Content-Type-Options: nosniff dan Referrer-Policy — amat mudah ditambah. MIME-sniffing · Referrer-Policy.
- Content-Security-Policy — paling berkuasa dan paling banyak kerja; berbaloi dilakukan dengan teliti. Baiki CSP.
Soalan lazim
Apakah pengepala keselamatan HTTP? Arahan yang dihantar pelayan dengan setiap halaman, memberitahu pelayar untuk menguatkuasakan perlindungan — menyekat pembingkaian, menolak kandungan campuran, menyekat skrip. Ia adalah konfigurasi percuma, bukan perisian.
Mengapa hanya 4.03% web menetapkan kesemuanya? Kerana ia pilihan dan tidak kelihatan. Tiada apa yang rosak atau memberi amaran apabila ia hilang, jadi kebanyakan laman tidak pernah menambahnya — sehingga serangan mengeksploitasi jurang itu.
Pengepala manakah yang paling penting? HSTS dan Content-Security-Policy memberikan perlindungan paling banyak. CSP ialah pertahanan terkuat terhadap cross-site scripting tetapi memerlukan paling banyak ketelitian untuk dilaksanakan.
Bagaimana saya melihat pengepala mana yang hilang dari laman saya? Jalankan pemeriksaan percuma dan peribadi (di bawah) — ia menyenaraikan setiap pengepala dan sama ada anda menetapkannya.
Periksa pengepala keselamatan anda secara percuma
Lihat kad laporan pengepala penuh anda — dan tepat apa yang perlu ditambah — secara peribadi dan untuk pemilik sahaja.
Periksa domain anda → · Baiki CSP → · Baiki HSTS → · Cara kami menilai → · Data agregat sahaja. Data disimpan dan diproses di EU.