Defaults.Exposed

Defaults.Exposed › Rapporter

Karakterboka for HTTP-sikkerhetshoder: hvordan nettet scorer i 2026

Publisert 2026-06-29

Tall per 2026-06-29 · metodikk v7. Aggregerte folketellingsdata på tvers av 261 millioner graderte domener. Header-sjekker observeres på responser vi kunne nå. Se hvordan vi graderer.

HTTP-sikkerhetsheadere er blant de billigste forsvarene på nettet — noen få linjer med konfigurasjon, ingen kostnad — og dataene viser at de nesten alltid hoppes over. På tvers av 261 millioner domener setter kun 4.03% hver kjerne-header korrekt. Hver header blokkerer et spesifikt, reelt angrep — clickjacking, innholdsinjeksjon, protokollnedgradering, referrer-lekkasje — og hver mangler på det store flertallet av nettsteder.

Karakterkortet

Høyere er bedre — andelen domener som setter hver header korrekt. Per 2026-06-29:

HeaderHva den stopperDomener som setter den
HSTS (Strict-Transport-Security)Nedgradering fra HTTPS til HTTP22.91% av HTTPS-nettsteder
Content-Security-PolicyCross-site scripting / innholdsinjeksjon8.87%
X-Frame-Options / frame-ancestorsClickjacking14.48%
X-Content-Type-Options (nosniff)MIME-type-forvirringsangrep16.65%
Referrer-PolicyLekkasje av besøkendes URL-er til tredjeparter10.10%
Alle de ovennevnte («sikker som standard»)Hele settet4.03%

Content-Security-Policy — det sterkeste forsvaret mot cross-site scripting — er den fremste svikten: kun 8.87% av domenene leverer en effektiv en. Og bare 4.03% får hele settet riktig.

Hvorfor så lavt, når de er gratis?

Headere installeres ikke som standard av de fleste servere og plattformer, så de dukker bare opp når noen bevisst legger dem til. Det finnes ingen skremmende advarsel for å mangle dem — i motsetning til et utløpt sertifikat er en manglende header usynlig for nettstedseieren og for besøkende, helt til den blir utnyttet. Den usynligheten er nettopp grunnen til at adopsjonen ligger på ensifrede tall for headerne som betyr mest.

Hvilke headere bør jeg prioritere?

For de fleste nettsteder, i rekkefølge:

  1. HSTS — når du først er på HTTPS, lås det inn. Fiks HSTS.
  2. Clickjacking-beskyttelse — en énlinjes header som hindrer at sidene dine settes i ramme. Fiks clickjacking.
  3. X-Content-Type-Options: nosniff og Referrer-Policy — trivielle å legge til. MIME-sniffing · Referrer-Policy.
  4. Content-Security-Policy — den kraftigste og mest arbeidskrevende; verdt å gjøre nøye. Fiks CSP.

Ofte stilte spørsmål

Hva er HTTP-sikkerhetsheadere? Instruksjoner en server sender med hver side som ber nettleseren håndheve beskyttelser — blokkere innramming, avvise blandet innhold, begrense skript. De er gratis konfigurasjon, ikke programvare.

Hvorfor setter bare 4.03% av nettet dem alle? Fordi de er opt-in og usynlige. Ingenting ødelegges eller advarer når de mangler, så de fleste nettsteder legger dem aldri til — helt til et angrep utnytter hullet.

Hvilken er den viktigste headeren? HSTS og en Content-Security-Policy gir mest beskyttelse. CSP er det sterkeste forsvaret mot cross-site scripting, men krever mest omhu å distribuere.

Hvordan ser jeg hvilke headere nettstedet mitt mangler? Kjør en gratis, privat sjekk (nedenfor) — den lister hver header og om du har satt den.

Sjekk sikkerhetsheaderne dine gratis

Se det fullstendige karakterkortet for headerne dine — og nøyaktig hva du skal legge til — privat og kun for eier.

Sjekk domenet ditt → · Fiks CSP → · Fiks HSTS → · Hvordan vi graderer → · Kun aggregerte data. Data lagret og behandlet i EU.