Defaults.Exposed

Defaults.Exposed › Rapoarte

Carnetul de note al antetelor HTTP de securitate: cum se descurcă web-ul în 2026

Publicat 2026-06-29

Cifre valabile la 2026-06-29 · metodologie v7. Date agregate de recensământ pentru 261 milioane de domenii evaluate. Verificările antetelor sunt observate pe răspunsurile la care am putut ajunge. Vezi cum acordăm notele.

Antetele de securitate HTTP se numără printre cele mai ieftine apărări de pe web — câteva linii de configurare, fără costuri — iar datele arată că sunt aproape universal ignorate. Pe 261 milioane de domenii, doar 4.03% setează corect fiecare antet de bază. Fiecare antet blochează un atac specific și real — clickjacking, injecție de conținut, downgrade de protocol, scurgere de referrer — și fiecare lipsește de pe marea majoritate a site-urilor.

Carnetul de note

Mai mult înseamnă mai bine — proporția de domenii care setează corect fiecare antet. La 2026-06-29:

AntetCe opreșteDomenii care îl setează
HSTS (Strict-Transport-Security)Downgrade de la HTTPS la HTTP22.91% dintre site-urile HTTPS
Content-Security-PolicyCross-site scripting / injecție de conținut8.87%
X-Frame-Options / frame-ancestorsClickjacking14.48%
X-Content-Type-Options (nosniff)Atacuri de confuzie a tipului MIME16.65%
Referrer-PolicyScurgerea URL-urilor vizitatorilor către terți10.10%
Toate cele de mai sus („securizat implicit”)Setul complet4.03%

Content-Security-Policy — cea mai puternică apărare împotriva cross-site scripting — este eșecul de prim plan: doar 8.87% dintre domenii livrează una eficientă. Și doar 4.03% setează corect întregul set.

De ce atât de puțin, când sunt gratuite?

Antetele nu sunt instalate implicit de majoritatea serverelor și platformelor, așa că apar doar când cineva le adaugă deliberat. Nu există niciun avertisment înfricoșător pentru lipsa lor — spre deosebire de un certificat expirat, un antet lipsă este invizibil pentru proprietarul site-ului și pentru vizitatori, chiar până în momentul în care este exploatat. Această invizibilitate este exact motivul pentru care adoptarea rămâne la o singură cifră pentru antetele care contează cel mai mult.

Ce antete ar trebui să prioritizez?

Pentru majoritatea site-urilor, în ordine:

  1. HSTS — odată ce ești pe HTTPS, blochează-l. Repară HSTS.
  2. Protecție împotriva clickjacking — un antet de o linie care împiedică încadrarea paginilor tale. Repară clickjacking.
  3. X-Content-Type-Options: nosniff și Referrer-Policy — banal de adăugat. MIME-sniffing · Referrer-Policy.
  4. Content-Security-Policy — cea mai puternică și cu cea mai multă muncă; merită făcută cu grijă. Repară CSP.

Întrebări frecvente

Ce sunt antetele de securitate HTTP? Instrucțiuni pe care un server le trimite cu fiecare pagină, spunând browserului să impună protecții — să blocheze încadrarea, să refuze conținutul mixt, să restricționeze scripturile. Sunt configurare gratuită, nu software.

De ce doar 4.03% din web le setează pe toate? Pentru că sunt opționale și invizibile. Nimic nu se strică și nu avertizează când lipsesc, așa că majoritatea site-urilor nu le adaugă niciodată — până când un atac exploatează breșa.

Care este cel mai important antet? HSTS și un Content-Security-Policy oferă cea mai mare protecție. CSP este cea mai puternică apărare împotriva cross-site scripting, dar necesită cea mai mare grijă la implementare.

Cum văd ce antete lipsesc de pe site-ul meu? Rulează o verificare gratuită și privată (mai jos) — listează fiecare antet și dacă l-ai setat.

Verifică-ți gratuit antetele de securitate

Vezi carnetul de note complet al antetelor tale — și exact ce să adaugi — privat și doar pentru proprietar.

Verifică-ți domeniul → · Repară CSP → · Repară HSTS → · Cum acordăm notele → · Doar date agregate. Date stocate și procesate în UE.