Defaults.Exposed

Defaults.Exposed › Laporan

Kad Laporan Pengepala Keselamatan HTTP: Bagaimana Web Mendapat Markah pada 2026

Diterbitkan 2026-06-29

Angka setakat 2026-06-29 · metodologi v7. Data banci agregat merentasi 261 juta domain yang dinilai. Pemeriksaan pengepala diperhatikan pada respons yang dapat kami capai. Lihat cara kami menilai.

Pengepala keselamatan HTTP adalah antara pertahanan termurah di web — beberapa baris konfigurasi, tanpa kos — dan data menunjukkan ia hampir sejagat diabaikan. Merentasi 261 juta domain, hanya 4.03% menetapkan setiap pengepala teras dengan betul. Setiap pengepala menyekat satu serangan tertentu dan sebenar — clickjacking, suntikan kandungan, penurunan taraf protokol, kebocoran referrer — dan setiap satu tiada pada majoriti besar laman.

Kad laporan

Lebih tinggi lebih baik — bahagian domain yang menetapkan setiap pengepala dengan betul. Setakat 2026-06-29:

PengepalaApa yang dihentikanDomain yang menetapkannya
HSTS (Strict-Transport-Security)Penurunan taraf daripada HTTPS ke HTTP22.91% laman HTTPS
Content-Security-PolicyCross-site scripting / suntikan kandungan8.87%
X-Frame-Options / frame-ancestorsClickjacking14.48%
X-Content-Type-Options (nosniff)Serangan kekeliruan jenis MIME16.65%
Referrer-PolicyKebocoran URL pelawat kepada pihak ketiga10.10%
Semua di atas (“selamat secara lalai”)Set penuh4.03%

Content-Security-Policy — pertahanan terkuat terhadap cross-site scripting — adalah kegagalan utama: hanya 8.87% domain menghantar yang berkesan. Dan hanya 4.03% menetapkan keseluruhan set dengan betul.

Mengapa begitu rendah, sedangkan ia percuma?

Pengepala tidak dipasang secara lalai oleh kebanyakan pelayan dan platform, jadi ia hanya muncul apabila seseorang sengaja menambahnya. Tiada amaran menakutkan untuk yang hilang — tidak seperti sijil yang tamat tempoh, pengepala yang hilang tidak kelihatan kepada pemilik laman dan pelawat, sehinggalah ia dieksploitasi. Ketidaknampakan itulah sebenarnya sebab penggunaan berada pada angka satu digit untuk pengepala yang paling penting.

Pengepala mana patut saya utamakan?

Untuk kebanyakan laman, mengikut urutan:

  1. HSTS — sebaik sahaja anda di HTTPS, kunci ia. Baiki HSTS.
  2. Perlindungan clickjacking — pengepala satu baris yang menghalang halaman anda daripada dibingkaikan. Baiki clickjacking.
  3. X-Content-Type-Options: nosniff dan Referrer-Policy — amat mudah ditambah. MIME-sniffing · Referrer-Policy.
  4. Content-Security-Policy — paling berkuasa dan paling banyak kerja; berbaloi dilakukan dengan teliti. Baiki CSP.

Soalan lazim

Apakah pengepala keselamatan HTTP? Arahan yang dihantar pelayan dengan setiap halaman, memberitahu pelayar untuk menguatkuasakan perlindungan — menyekat pembingkaian, menolak kandungan campuran, menyekat skrip. Ia adalah konfigurasi percuma, bukan perisian.

Mengapa hanya 4.03% web menetapkan kesemuanya? Kerana ia pilihan dan tidak kelihatan. Tiada apa yang rosak atau memberi amaran apabila ia hilang, jadi kebanyakan laman tidak pernah menambahnya — sehingga serangan mengeksploitasi jurang itu.

Pengepala manakah yang paling penting? HSTS dan Content-Security-Policy memberikan perlindungan paling banyak. CSP ialah pertahanan terkuat terhadap cross-site scripting tetapi memerlukan paling banyak ketelitian untuk dilaksanakan.

Bagaimana saya melihat pengepala mana yang hilang dari laman saya? Jalankan pemeriksaan percuma dan peribadi (di bawah) — ia menyenaraikan setiap pengepala dan sama ada anda menetapkannya.

Periksa pengepala keselamatan anda secara percuma

Lihat kad laporan pengepala penuh anda — dan tepat apa yang perlu ditambah — secara peribadi dan untuk pemilik sahaja.

Periksa domain anda → · Baiki CSP → · Baiki HSTS → · Cara kami menilai → · Data agregat sahaja. Data disimpan dan diproses di EU.