Defaults.Exposed

Defaults.Exposed › Rapporten

Het rapport over HTTP-beveiligingsheaders: hoe scoort het web in 2026

Gepubliceerd 2026-06-29

Cijfers per 2026-06-29 · methodologie v7. Geaggregeerde censusgegevens over 261 miljoen beoordeelde domeinen. Headercontroles worden waargenomen op de antwoorden die we konden bereiken. Zie hoe we beoordelen.

HTTP-beveiligingsheaders behoren tot de goedkoopste verdedigingen op het web — een paar regels configuratie, geen kosten — en de gegevens laten zien dat ze vrijwel overal worden overgeslagen. Over 261 miljoen domeinen stelt slechts 4,03% elke kernheader correct in. Elke header blokkeert een specifieke, reële aanval — clickjacking, content-injectie, protocol-downgrade, referrer-lekkage — en elke ontbreekt bij de grote meerderheid van de sites.

Het rapport

Hoger is beter — het aandeel domeinen dat elke header correct instelt. Per 2026-06-29:

HeaderWat het tegenhoudtDomeinen die het instellen
HSTS (Strict-Transport-Security)Downgrade van HTTPS naar HTTP22,91% van de HTTPS-sites
Content-Security-PolicyCross-site scripting / content-injectie8,87%
X-Frame-Options / frame-ancestorsClickjacking14,48%
X-Content-Type-Options (nosniff)MIME-type-verwarringaanvallen16,65%
Referrer-PolicyLekken van bezoekers-URL’s naar derden10,10%
Alle bovenstaande (“veilig standaard”)De volledige set4,03%

Content-Security-Policy — de sterkste verdediging tegen cross-site scripting — is de grootste tekortkoming: slechts 8,87% van de domeinen levert een effectieve. En slechts 4,03% krijgt de hele set goed.

Waarom zo laag, als ze gratis zijn?

Headers worden door de meeste servers en platforms niet standaard geïnstalleerd, dus ze verschijnen alleen wanneer iemand ze bewust toevoegt. Er is geen angstaanjagende waarschuwing voor het ontbreken ervan — anders dan bij een verlopen certificaat is een ontbrekende header onzichtbaar voor de site-eigenaar en voor bezoekers, totdat hij wordt misbruikt. Precies die onzichtbaarheid is de reden waarom de invoering in de enkele cijfers blijft hangen voor de headers die er het meest toe doen.

Welke headers moet ik prioriteren?

Voor de meeste sites, op volgorde:

  1. HSTS — zodra je op HTTPS zit, leg het vast. HSTS herstellen.
  2. Clickjacking-bescherming — een header van één regel die voorkomt dat je pagina’s in frames worden gezet. Clickjacking herstellen.
  3. X-Content-Type-Options: nosniff en Referrer-Policy — triviaal toe te voegen. MIME-sniffing · Referrer-Policy.
  4. Content-Security-Policy — de krachtigste en het meeste werk; de moeite waard om zorgvuldig te doen. CSP herstellen.

Veelgestelde vragen

Wat zijn HTTP-beveiligingsheaders? Instructies die een server met elke pagina meestuurt en die de browser opdragen beschermingen af te dwingen — framing blokkeren, gemengde content weigeren, scripts beperken. Het is gratis configuratie, geen software.

Waarom stelt slechts 4,03% van het web ze allemaal in? Omdat ze opt-in en onzichtbaar zijn. Er gaat niets stuk en niets waarschuwt wanneer ze ontbreken, dus de meeste sites voegen ze nooit toe — totdat een aanval het gat misbruikt.

Welke header is het belangrijkst? HSTS en een Content-Security-Policy geven de meeste bescherming. CSP is de sterkste verdediging tegen cross-site scripting, maar vergt de meeste zorg bij de implementatie.

Hoe zie ik welke headers mijn site mist? Voer een gratis, privécontrole uit (hieronder) — die somt elke header op en of je hem hebt ingesteld.

Controleer je beveiligingsheaders gratis

Bekijk je volledige headerrapport — en precies wat toe te voegen — privé en alleen voor de eigenaar.

Controleer je domein → · CSP herstellen → · HSTS herstellen → · Hoe we beoordelen → · Alleen geaggregeerde gegevens. Gegevens opgeslagen en verwerkt in de EU.