Defaults.Exposed › Rapoarte
Carnetul de note al antetelor HTTP de securitate: cum se descurcă web-ul în 2026
Publicat 2026-06-29
Cifre valabile la 2026-06-29 · metodologie v7. Date agregate de recensământ pentru 261 milioane de domenii evaluate. Verificările antetelor sunt observate pe răspunsurile la care am putut ajunge. Vezi cum acordăm notele.
Antetele de securitate HTTP se numără printre cele mai ieftine apărări de pe web — câteva linii de configurare, fără costuri — iar datele arată că sunt aproape universal ignorate. Pe 261 milioane de domenii, doar 4.03% setează corect fiecare antet de bază. Fiecare antet blochează un atac specific și real — clickjacking, injecție de conținut, downgrade de protocol, scurgere de referrer — și fiecare lipsește de pe marea majoritate a site-urilor.
Carnetul de note
Mai mult înseamnă mai bine — proporția de domenii care setează corect fiecare antet. La 2026-06-29:
| Antet | Ce oprește | Domenii care îl setează |
|---|---|---|
| HSTS (Strict-Transport-Security) | Downgrade de la HTTPS la HTTP | 22.91% dintre site-urile HTTPS |
| Content-Security-Policy | Cross-site scripting / injecție de conținut | 8.87% |
| X-Frame-Options / frame-ancestors | Clickjacking | 14.48% |
| X-Content-Type-Options (nosniff) | Atacuri de confuzie a tipului MIME | 16.65% |
| Referrer-Policy | Scurgerea URL-urilor vizitatorilor către terți | 10.10% |
| Toate cele de mai sus („securizat implicit”) | Setul complet | 4.03% |
Content-Security-Policy — cea mai puternică apărare împotriva cross-site scripting — este eșecul de prim plan: doar 8.87% dintre domenii livrează una eficientă. Și doar 4.03% setează corect întregul set.
De ce atât de puțin, când sunt gratuite?
Antetele nu sunt instalate implicit de majoritatea serverelor și platformelor, așa că apar doar când cineva le adaugă deliberat. Nu există niciun avertisment înfricoșător pentru lipsa lor — spre deosebire de un certificat expirat, un antet lipsă este invizibil pentru proprietarul site-ului și pentru vizitatori, chiar până în momentul în care este exploatat. Această invizibilitate este exact motivul pentru care adoptarea rămâne la o singură cifră pentru antetele care contează cel mai mult.
Ce antete ar trebui să prioritizez?
Pentru majoritatea site-urilor, în ordine:
- HSTS — odată ce ești pe HTTPS, blochează-l. Repară HSTS.
- Protecție împotriva clickjacking — un antet de o linie care împiedică încadrarea paginilor tale. Repară clickjacking.
- X-Content-Type-Options: nosniff și Referrer-Policy — banal de adăugat. MIME-sniffing · Referrer-Policy.
- Content-Security-Policy — cea mai puternică și cu cea mai multă muncă; merită făcută cu grijă. Repară CSP.
Întrebări frecvente
Ce sunt antetele de securitate HTTP? Instrucțiuni pe care un server le trimite cu fiecare pagină, spunând browserului să impună protecții — să blocheze încadrarea, să refuze conținutul mixt, să restricționeze scripturile. Sunt configurare gratuită, nu software.
De ce doar 4.03% din web le setează pe toate? Pentru că sunt opționale și invizibile. Nimic nu se strică și nu avertizează când lipsesc, așa că majoritatea site-urilor nu le adaugă niciodată — până când un atac exploatează breșa.
Care este cel mai important antet? HSTS și un Content-Security-Policy oferă cea mai mare protecție. CSP este cea mai puternică apărare împotriva cross-site scripting, dar necesită cea mai mare grijă la implementare.
Cum văd ce antete lipsesc de pe site-ul meu? Rulează o verificare gratuită și privată (mai jos) — listează fiecare antet și dacă l-ai setat.
Verifică-ți gratuit antetele de securitate
Vezi carnetul de note complet al antetelor tale — și exact ce să adaugi — privat și doar pentru proprietar.
Verifică-ți domeniul → · Repară CSP → · Repară HSTS → · Cum acordăm notele → · Doar date agregate. Date stocate și procesate în UE.