Defaults.Exposed

Defaults.Exposed › Raporty

Świadectwo nagłówków bezpieczeństwa HTTP: jak sieć wypada w 2026

Opublikowano 2026-06-29

Dane na dzień 2026-06-29 · metodologia v7. Zagregowane dane spisowe obejmujące 261 milionów ocenionych domen. Kontrole nagłówków są obserwowane na odpowiedziach, które udało nam się uzyskać. Zobacz jak oceniamy.

Nagłówki bezpieczeństwa HTTP należą do najtańszych zabezpieczeń w sieci — kilka linii konfiguracji, bez kosztów — a dane pokazują, że są niemal powszechnie pomijane. Wśród 261 milionów domen tylko 4,03% ustawia poprawnie każdy podstawowy nagłówek. Każdy nagłówek blokuje konkretny, realny atak — clickjacking, wstrzykiwanie treści, obniżenie protokołu, wyciek referrera — i każdego brakuje na zdecydowanej większości witryn.

Świadectwo

Im wyżej, tym lepiej — odsetek domen, które poprawnie ustawiają każdy nagłówek. Na dzień 2026-06-29:

NagłówekCo powstrzymujeDomeny, które go ustawiają
HSTS (Strict-Transport-Security)Obniżenie z HTTPS do HTTP22,91% witryn HTTPS
Content-Security-PolicyCross-site scripting / wstrzykiwanie treści8,87%
X-Frame-Options / frame-ancestorsClickjacking14,48%
X-Content-Type-Options (nosniff)Ataki polegające na myleniu typu MIME16,65%
Referrer-PolicyWyciek adresów URL odwiedzających do stron trzecich10,10%
Wszystkie powyższe („bezpieczne domyślnie”)Pełen zestaw4,03%

Content-Security-Policy — najsilniejsza obrona przed cross-site scriptingiem — to najgłośniejsza porażka: tylko 8,87% domen dostarcza skuteczną. A jedynie 4,03% ustawia poprawnie cały zestaw.

Dlaczego tak nisko, skoro są darmowe?

Większość serwerów i platform nie instaluje nagłówków domyślnie, więc pojawiają się one tylko wtedy, gdy ktoś świadomie je doda. Nie ma żadnego przerażającego ostrzeżenia o ich braku — w przeciwieństwie do wygasłego certyfikatu brakujący nagłówek jest niewidoczny dla właściciela witryny i dla odwiedzających, aż do chwili wykorzystania. To właśnie ta niewidoczność sprawia, że stosowanie najważniejszych nagłówków utrzymuje się na poziomie jednocyfrowym.

Które nagłówki powinienem traktować priorytetowo?

Dla większości witryn, w kolejności:

  1. HSTS — gdy już jesteś na HTTPS, zablokuj to. Napraw HSTS.
  2. Ochrona przed clickjackingiem — jednolinijkowy nagłówek, który uniemożliwia osadzanie twoich stron w ramkach. Napraw clickjacking.
  3. X-Content-Type-Options: nosniff i Referrer-Policy — trywialne do dodania. MIME-sniffing · Referrer-Policy.
  4. Content-Security-Policy — najpotężniejszy i wymagający najwięcej pracy; warto zrobić go starannie. Napraw CSP.

Najczęściej zadawane pytania

Czym są nagłówki bezpieczeństwa HTTP? Instrukcje, które serwer wysyła z każdą stroną, nakazując przeglądarce egzekwowanie zabezpieczeń — blokowanie ramek, odrzucanie treści mieszanej, ograniczanie skryptów. To darmowa konfiguracja, nie oprogramowanie.

Dlaczego tylko 4,03% sieci ustawia je wszystkie? Ponieważ są opcjonalne i niewidoczne. Gdy ich brakuje, nic się nie psuje ani nie ostrzega, więc większość witryn nigdy ich nie dodaje — dopóki atak nie wykorzysta luki.

Który nagłówek jest najważniejszy? HSTS i Content-Security-Policy dają największą ochronę. CSP to najsilniejsza obrona przed cross-site scriptingiem, ale wymaga największej staranności przy wdrażaniu.

Jak sprawdzić, których nagłówków brakuje na mojej stronie? Uruchom darmową, prywatną kontrolę (poniżej) — wymieni każdy nagłówek i poinformuje, czy go ustawiłeś.

Sprawdź swoje nagłówki bezpieczeństwa za darmo

Zobacz pełne świadectwo swoich nagłówków — i dokładnie to, co dodać — prywatnie i tylko dla właściciela.

Sprawdź swoją domenę → · Napraw CSP → · Napraw HSTS → · Jak oceniamy → · Tylko dane zagregowane. Dane przechowywane i przetwarzane w UE.