Defaults.Exposed

Defaults.Exposed › Relatórios

O Boletim dos Cabeçalhos de Segurança HTTP: Como a Web Se Classifica em 2026

Publicado 2026-06-29

Números em 2026-06-29 · metodologia v7. Dados agregados de censo de 261 milhões de domínios avaliados. As verificações de cabeçalhos são observadas nas respostas que conseguimos alcançar. Veja como avaliamos.

Os cabeçalhos de segurança HTTP estão entre as defesas mais baratas da web — algumas linhas de configuração, sem custo — e os dados mostram que são quase sempre ignorados. Em 261 milhões de domínios, apenas 4,03% definem corretamente cada cabeçalho essencial. Cada cabeçalho bloqueia um ataque específico e real — clickjacking, injeção de conteúdo, downgrade de protocolo, vazamento de referenciador — e cada um está ausente na grande maioria dos sites.

O boletim

Mais alto é melhor — a proporção de domínios que definem cada cabeçalho corretamente. Em 2026-06-29:

CabeçalhoO que ele impedeDomínios que o definem
HSTS (Strict-Transport-Security)Downgrade de HTTPS para HTTP22,91% dos sites HTTPS
Content-Security-PolicyCross-site scripting / injeção de conteúdo8,87%
X-Frame-Options / frame-ancestorsClickjacking14,48%
X-Content-Type-Options (nosniff)Ataques de confusão de tipo MIME16,65%
Referrer-PolicyVazamento das URLs do visitante para terceiros10,10%
Todos os acima (“seguro por padrão”)O conjunto completo4,03%

Content-Security-Policy — a defesa mais forte contra cross-site scripting — é a falha de destaque: apenas 8,87% dos domínios entregam uma eficaz. E apenas 4,03% acertam o conjunto inteiro.

Por que tão baixo, se são gratuitos?

A maioria dos servidores e plataformas não instala os cabeçalhos por padrão, então eles só aparecem quando alguém os adiciona deliberadamente. Não há aviso assustador pela ausência deles — ao contrário de um certificado expirado, um cabeçalho ausente é invisível para o dono do site e para os visitantes, até ser explorado. É exatamente essa invisibilidade que faz a adoção ficar na casa de um único dígito para os cabeçalhos que mais importam.

Quais cabeçalhos devo priorizar?

Para a maioria dos sites, em ordem:

  1. HSTS — assim que estiver em HTTPS, fixe-o. Corrigir HSTS.
  2. Proteção contra clickjacking — um cabeçalho de uma linha que impede que suas páginas sejam colocadas em frames. Corrigir clickjacking.
  3. X-Content-Type-Options: nosniff e Referrer-Policy — triviais de adicionar. MIME-sniffing · Referrer-Policy.
  4. Content-Security-Policy — o mais poderoso e o que dá mais trabalho; vale a pena fazer com cuidado. Corrigir CSP.

Perguntas frequentes

O que são cabeçalhos de segurança HTTP? Instruções que um servidor envia com cada página, dizendo ao navegador para aplicar proteções — bloquear framing, recusar conteúdo misto, restringir scripts. São configuração gratuita, não software.

Por que apenas 4,03% da web os define todos? Porque são opcionais e invisíveis. Nada quebra ou avisa quando estão ausentes, então a maioria dos sites nunca os adiciona — até um ataque explorar a brecha.

Qual é o cabeçalho mais importante? HSTS e uma Content-Security-Policy dão a maior proteção. O CSP é a defesa mais forte contra cross-site scripting, mas exige mais cuidado para implantar.

Como vejo quais cabeçalhos faltam no meu site? Execute uma verificação gratuita e privada (abaixo) — ela lista cada cabeçalho e se você o definiu.

Verifique seus cabeçalhos de segurança gratuitamente

Veja o boletim completo dos seus cabeçalhos — e exatamente o que adicionar — de forma privada e apenas para o proprietário.

Verifique seu domínio → · Corrigir CSP → · Corrigir HSTS → · Como avaliamos → · Apenas dados agregados. Dados armazenados e processados na UE.